7° LEARNING OBJECT    Le figure principali della normativa: Titolare, Responsabile , Incaricato, Amministratore di sistema Approfondire la conoscenza del norma e della sua evoluzione in Italia Conoscere le principali caratteristiche in riferimento a diritti e doveri delle figure introdotte dalla normativa

INTRODUZIONE Nell'ambito delle numerose problematiche sollevate dall' entrata in vigore della legge n. 675/96 sulla tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali occorre affrontare, tra i primi, il tema della responsabilità per gli adempimenti posti a carico dei soggetti titolari o responsabili dei trattamenti Infatti, dal momento che la legge prevede, nel suo impianto complessivo, che i principi di tutela dei soggetti interessati si esprimano attraverso l'individuazione di una serie di obblighi in capo ai soggetti (persone, autorità pubbliche, imprese o qualunque altro organismo) responsabili della detenzione di banche dati e dei relativi trattamenti, occorre senz'altro - e prioritariamente - chiarire come tali figure si possano incarnare nelle persone fisiche che le esplicano

Come è noto, la legge, con riferimento al trattamento dei dati, individua tre figure distinte: il titolare, il responsabile e l'incaricato, cui spettano diverse attività e cui sono attribuiti diversi oneri ed adempimenti In un'impresa o nella pubblica amministrazione, spetta senza dubbio agli organismi di vertice, non solo imporre l'osservanza ed il rispetto delle misure di sicurezza, quanto e soprattutto di organizzare programmaticamente l'attività: l'aspetto più importante introdotto dalla nuova legge, pertanto, non risiede tanto nell'aver individuato nuove responsabilità o nuovi adempimenti a carico delle imprese, quanto nell'aver individuato una metodologia organizzativa aziendale sul problema.

per “TITOLARE" la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza;

Il “titolare” non è necessariamente il legale rappresentante dell’azienda nel cui ambito esista una banca dati e avvenga il trattamento dei dati in essa contenuti, giacché con tale termine si deve intendere chi abbia la responsabilità strategica (il potere decisionale in ordine alle finalità e modalità del trattamento …) della banca o delle banche dati dell’azienda. Al “titolare”, invece, compete l’onere / potere decisionale di tipo strategico.

OBBLIGHI PER IL TITOLARE DEL TRATTAMENTO i principi fondamentali che investono il vertice aziendale nell'ambito delle modalità procedurali imposte dalla legge, si possono rinvenire essenzialmente tre componenti: a) un obbligo di programmazione degli interventi; b) un obbligo di coinvolgimento di tutti i soggetti interessati sia nella fase di individuazione, sia nella attuazione delle misure necessarie; c) un obbligo di diffusione e circolazione delle informazioni attraverso la predisposizione di idonei strumenti sia all'interno della struttura aziendale, sia nei confronti dei soggetti interessati dal trattamento

OBBLIGHI PER IL TITOLARE DEL TRATTAMENTO Notificazione Il titolare che intenda procedere ad un trattamento di dati personali soggetto al campo di applicazione della presente legge è tenuto a darne notificazione al Garante. La notificazione è sottoscritta dal notificante e dal responsabile del trattamento ed è soggetta ad eccezioni.

La notificazione contiene: a) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare; b) le finalità e modalità del trattamento; c) la natura dei dati, il luogo ove sono custoditi e le categorie di interessati cui i dati si riferiscono; d) l'ambito di comunicazione e di diffusione dei dati; e) i trasferimenti di dati previsti verso Paesi non appartenenti all' Unione europea o, qualora riguardino taluno dei dati di cui agli articoli 22 e 24, fuori del territorio nazionale; f) una descrizione generale che permetta di valutare l' adeguatezza delle misure tecniche ed organizzative adottate per la sicurezza dei dati;

g) l'indicazione della banca di dati o delle banche di dati cui si riferisce il trattamento, nonché l'eventuale connessione con altri trattamenti o banche di dati, anche fuori del territorio nazionale; h) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del responsabile; in mancanza di tale indicazione si considera responsabile il notificante; i) la qualità e la legittimazione del notificante.

e) è finalizzato unicamente all' adempimento di specifici obblighi contabili, retributivi, previdenziali, assistenziali e fiscali, f) è effettuato da liberi professionisti iscritti in albi o elenchi professionali, per le sole finalità strettamente collegate all' adempimento di specifiche prestazioni e fermo restando il segreto professionale; g) è effettuato dai piccoli imprenditori di cui all' articolo 2083 del codice civile per le sole finalità strettamente collegate allo svolgimento dell' attività professionale esercitata,

h) è finalizzato alla tenuta di albi o elenchi professionali in conformità alle leggi e ai regolamenti; i) è effettuato per esclusive finalità dell' ordinaria gestione di biblioteche, musei e mostre, l) è effettuato da associazioni, fondazioni, comitati anche a carattere politico, filosofico, religioso o sindacale, ovvero da loro organismi rappresentativi, relativamente a dati inerenti agli associati m) è effettuato dalle organizzazioni di volontariato di cui alla legge 11 agosto 1991, n. 266,

n) è effettuato temporaneamente ed è finalizzato esclusivamente alla pubblicazione o diffusione occasionale di articoli, saggi e altre manifestazioni del pensiero, o) è effettuato, anche con mezzi elettronici o comunque automatizzati, per la redazione di periodici o pubblicazioni aventi finalità di informazione giuridica, p) è effettuato temporaneamente per esclusive finalità di raccolta di adesioni a proposte di legge d' iniziativa popolare, a richieste di referendum, a petizioni o ad appelli;

Responsabile Il responsabile, se designato, deve essere nominato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Il responsabile procede al trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di legge e delle proprie istruzioni.

Al “responsabile” compete l’onere, oltre che di garantire l’affidabilità del sistema, di assicurare l’integrità dei dati e la correttezza del loro utilizzo. Mentre per il “titolare” ce n’è uno solo per tutta la società o l’azienda, vi possono essere, invece, più “responsabili”, tutti con uguali competenze, oppure con competenze settoriali o geografiche diversificate.

REQUISITI DEL RESPONSABILE AUTONOM IA DECISIONALE CAPACITA’ AUTONOM IA DECISIONALE CONSAPEVOLEZZA AUTONOM IA DI SPESA TEM PESTIVITA’

INCARICATI AL TRATTAMENTO COLORO CHE DEVONO ELABORARE I DATI PERSONALI AI QUALI HANNO ACCESSO ATTENENDOSI ALLE ISTRUZIONI DEL TITOLARE O DEL RESPONSABILE E OPERANDO SOTTO LA LORO AUTORITA’

Gli incaricati trattano i dati AMBITO DELL’INCARICO Gli incaricati trattano i dati NELL’AMBITO DELLE MANSIONI SVOLTE ATTENENDOSI A PRECISE DISPOSIZIONI CON UN MANSIONARIO PER LA SICUREZZA SE MUTA LA MANSIONE MUTA L’INCARICO DIVIETO DI SUB-INCARICO

TITOLARE RESPONSABILE INCARICATO OCCORRE RICORDARE CHE TITOLARE RESPONSABILE INCARICATO SONO: TUTTI EGUALMENTE PENALMENTE RESPONSABILI IN CASO DI OMESSA ADOZIONE DI MISURE DI SICUREZZA

LA DELEGA Occorre affrontare anche uno degli aspetti più delicati indotti dalla legge, vale a dire quello della possibilità o meno di trasferimento e delega delle responsabilità. L'ambito generale di riferimento consente, in linea di massima, di individuare due diversi e distinti livelli: da un lato l'osservanza, attribuita alla esclusiva responsabilità del titolare del trattamento, degli obblighi relativi alla organizzazione del sistema di trattamento e sicurezza; dall'altro l'attuazione concreta delle misure rimesse alla responsabilità congiunta del titolare e del responsabile del trattamento. Funzioni delegabili e trasferibili dal primo al secondo dotato delle necessarie competenze.

LA DELEGA Quanto ai contenuti della possibile delega deve ritenersi che questa debba essere espressa, vera ed effettiva, tale 1) da comportare il trasferimento di tutte le funzioni in ordine all'intero settore deputato al trattamento o alla specifica unità organizzativa che lo esegue; 2) da escludere una effettiva partecipazione del delegante all'organizzazione del lavoro. Considerando, inoltre, le condizioni alle quali la delega può considerarsi efficace, possiamo dire che la delega deve essere esplicita ed inequivocabile e la persona delegata deve ricoprire una carica superiore rispetto ai dipendenti incaricati dei trattamenti;

LA DELEGA Inoltre la persona delegata deve accettare la delega volontariamente ed esplicitamente e deve essere persona professionalmente qualificata, deve avere a disposizione strumenti idonei per l'organizzazione delle attività relative alla funzione delegata, soprattutto di spesa. In caso contrario la responsabilità rimane in capo al vertice; infatti il delegato deve disporre di poteri e di autonomia necessari per lo svolgimento della funzione delegata: deve essere in grado di decidere autonomamente ed imporre le decisioni; deve poter decidere liberamente per quanto concerne l'impiego delle risorse finanziarie assegnategli. Per tutte le limitazioni imposte dal vertice, sarà quest'ultimo a rispondere delle conseguenze, sopportando l'applicazione delle sanzioni penali ed amministrative previste dalla legge n. 675/96;

LA DELEGA Il delegato deve poter intervenire in tutte le questioni che gli competono in base all'elenco stilato nella delega. Non deve essere chiamato ad adempiere a compiti estranei o non compatibili con la delega; Qualora il vertice venisse a conoscenza di infrazioni alle norme, resta fermo in capo ad esso l'obbligo di intervenire, non potendo disattendere le proprie responsabilità di carattere generale e dovendo comunque svolgere un controllo sull'attività del delegato.

CONCLUSIONE Quanto detto porta alla inevitabile conclusione che in Europa il sistema si deve muovere attraverso la predisposizione di meccanismi di prevenzione dei potenziali danni e dei rischi che possono derivare dallo svolgimento dell'attività di trattamento dei dati personali su tutti i cittadini comunitari, siano essi considerati nella loro veste di consumatori e utenti di beni e servizi, siano essi prestatori d'opera o lavoratori; siano essi, infine, imprenditori o professionisti.