Il Responsabile del trattamento dati gode di un'autonomia propositiva nell'adozione di misure tecniche e organizzative adeguate al livello di rischio, tanto da derivarne una specifica e diretta responsabilità nel caso di misure rilevatesi inadeguate. E' questo, in sintesi, il contenuto del recente provvedimento del Garante (n. 107 del 24 marzo 2022) con cui è stato sanzionato un responsabile del trattamento a causa dell'accesso abusivo al sistema informatico che gestiva per conto del Titolare.
Una sanzione di un milione di euro è stata comminata dal Garante privacy ad Autostrade per l’Italia spa (ASPI) per avere trattato in modo illecito i dati di circa 100mila utenti registrati alla app per il rimborso del pedaggio, denominata Free to X. Le criticità del servizio - che consente la restituzione, totale o parziale, del costo del biglietto autostradale per i ritardi dovuti ai cantieri di lavoro - erano state segnalate al Garante da una associazione di consumatori.
La qualificazione dei soggetti esterni destinatari di dati personali e la corretta individuazione del ruolo soggettivo loro attribuito è un processo complesso, che implica verifiche mirate e che continua a presentare non poche criticità. Nello svolgimento delle attività di trattamento che gli sono proprie, infatti, il titolare del trattamento si trova a dover comunicare i dati personali dell’interessato a diverse categorie di soggetti, o a doverli condividere con gli stessi:
È all’attenzione della Corte Suprema USA una questione che potrebbe rivoluzionare la disciplina statunitense in materia di responsabilità degli internet provider. Il caso è stato presentato dalla famiglia di Nohemi Gonzales, una studentessa, tra le vittime dell’attacco terroristico al Bataclan, a Parigi, nel 2015.
Il trattamento di dati personali effettuato da un soggetto incaricato dal titolare, ma in assenza di investitura formale nel ruolo di responsabile o sub-responsabile, è illecito. Così la Cassazione conferma la pronuncia sanzionatoria del Garante Privacy.
Per leggere questo articolo devi essere registrato ed effettuare il login!
La società di servizi di conservazione dei dati è un responsabile esterno del trattamento. Questo vale per la società che ospita le informazioni sui dipendenti di una azienda. È questa una delle risposte fornite dalle «Linee-guida sui concetti di titolare del trattamento e responsabile del trattamento nel Gdpr», diffuse in pubblica consultazione dal Comitato europeo per la protezione dei dati personali (siglabile con l'acronimo inglese «Edpb»), che riunisce tutti i garanti europei della privacy.
Le colpe dei responsabili del trattamento ricadono sui titolari del trattamento. Anche se il fornitore esterno di un servizio abbia disatteso le prescrizioni del titolare. È quanto stabilito dal Garante con provvedimento n. 231/2019, in un caso in cui è stata contestata ad un operatore economico l'attivazione di contratti non richiesti dagli utenti.
Il Garante per la protezione dei dati personali ha sanzionato la Regione Lazio per 75.000 euro per non aver nominato responsabile del trattamento dati la Società Cooperativa Capodarco, a cui l’Ente aveva affidato la gestione delle prenotazioni delle prestazioni sanitarie, attraverso il call center regionale (ReCUP).
Outsourcing in linea con la privacy. Quando un'azienda esternalizza i propri servizi deve preoccuparsi di stendere un contratto con il fornitore esterno, che diventa un responsabile del trattamento. Attenzione, stendere il contratto è obbligatorio, altrimenti si rischia fino a 10 milioni di euro di sanzione pecuniaria amministrativa (articolo 83 regolamento Ue sulla privacy n. 2016/679 o Gdpr). Insomma quando i dati personali passano da un'impresa a un'altra o a un ente pubblico occorre capire se si può fare e a che condizione si può fare.
Qual è la corretta qualificazione soggettiva, dal punto di vista della normativa 'data protection', di un cloud provider? E' un responsabile o piuttosto un titolare del trattamento? L'argomento è stato oggetto di numerose riflessioni e dibattiti nel corso del tempo e, alla luce delle disposizioni del Regolamento UE 2016/679, merita di essere ulteriormente sviscerato e, per quanto possibile, definito.
