Home

Regolamento - 27/04/2016 - n. 679 art. 4 - Definizioni

Carlo Rossi

Definizioni

Ai fini del presente regolamento s'intende per:

1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

3) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro;

4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;

5) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

6) «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

7) «titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;

8) «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

9) «destinatario»: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

10) «terzo»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile;

11) «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati;

13) «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;

14) «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici;

15) «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

16) «stabilimento principale»:

a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell'Unione e che quest'ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;

b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se il responsabile del trattamento non ha un'amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;

17) «rappresentante»: la persona fisica o giuridica stabilita nell'Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell'articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;

18) «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un'attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un'attività economica;

19) «gruppo imprenditoriale»: un gruppo costituito da un'impresa controllante e dalle imprese da questa controllate;

20) «norme vincolanti d'impresa»: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune;

21) «autorità di controllo»: l'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51;

22) «autorità di controllo interessata»: un'autorità di controllo interessata dal trattamento di dati personali in quanto:

a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo;

b) gli interessati che risiedono nello Stato membro dell'autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure

c) un reclamo è stato proposto a tale autorità di controllo;

23) «trattamento transfrontaliero»:

a) trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure

b) trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

24) «obiezione pertinente e motivata»: un'obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l'azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all'interno dell'Unione;

25) «servizio della società dell'informazione»: il servizio definito all'articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio;

26) «organizzazione internazionale»: un'organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

Inquadramento

L'articolo in commento individua un soggetto attivo del trattamento. Non si tratta di una figura del tutto nuova, in quanto già contemplata dalla dir. 95/46/CE (art. 4.2) e dal cod. Privacy A-R (art. 5, comma 2). Tuttavia, rispetto alla normativa precedente si evidenzia come la figura del rappresentante possa riguardare non più soltanto il titolare, ma anche il responsabile del trattamento. Per maggiori informazioni relative a questa figura si veda anche il commento all'art. 27 del GDPR.

Rappresentante del titolare o del responsabile

La figura del rappresentante è strettamente correlata a quanto previsto dall'art. 3 par. 2 del Regolamento che – nel disciplinare l'ambito di applicazione territoriale – include il trattamento di dati personali di persone fisiche (interessati) che si trovano nell'Unione, effettuato da un titolare o responsabile del trattamento al di fuori dell'Unione quando: ab) monitorano il comportamento degli interessati nella misura in cui tale comportamento ha luogo all'interno dell'UE.

Dal predetto dato normativo emerge che, in caso di offerta di beni o servizi (art. 3, par. 2, lett. a), il Regolamento si applica anche a soggetti (titolare del trattamento o responsabile del trattamento) che non siano stabiliti nell'Unione. Pertanto, in questo caso, se il titolare o il responsabile del trattamento sono stabiliti fuori dall'Unione e offrono beni o servizi a interessati che si trovano nell'Unione, essi sono tenuti ad applicare il Regolamento.

Fine ultimo del legislatore europeo sembra essere stato la creazione di un elemento di prossimità agli interessati e alle Autorità garanti europee con cui interagire anche in sostituzione del titolare o del responsabile quando questi sono stabiliti in Paesi terzi (Bolognini,Pelino, Bistolfi, 154).

Designazione del rappresentante e rapporto con il titolare e il responsabile

Sotto un profilo civilistico, il rapporto rappresentante-titolare e responsabile deve inquadrarsi nel contratto di mandato, come peraltro suggerisce il considerando 80 GDPR.

La designazione deve avvenire in forma scritta (art. 27.1 GDPR).

La menzione del rappresentante del titolare o del responsabile sul sito web di quest'ultimo non soddisfa il requisito di forma imposto dal Regolamento (Calder, 134).

Non sembrano esservi elementi ostativi ad un rappresentante “plurimandatario” (Bolognini, Pelino, Bistolfi, 155). A sostegno di tale interpretazione si riporta quanto già ebbe modo di chiarire il WP 29 in relazione all'istituto della rappresentanza così come previsto dalla dir. 95/46/CE: «Si potrebbe raccomandare di fare ampiamente ricorso alla possibilità che un solo rappresentante agisca per conto di numerosi titolari o di cercare altre soluzioni pragmatiche» (WP29, wd 15, 30 maggio 2002).

Possono essere nominati rappresentanti ai sensi dell'articolo in commento sia individui che società. Il rappresentante può risiedere in qualsiasi luogo nell'Unione europea, non essendo previsto l'obbligo di residenza in un particolare paese. La stessa persona o società può fungere da rappresentante e da Data Protection officer, ai sensi degli artt. 37-39. Vi possono essere più rappresentanti nominati per singoli o gruppi di paesi membri.

Normalmente in gruppi internazionali il ruolo del rappresentante è svolto dalle società controllate locali che sono tradizionalmente il punto di contatto delle autorità nazionali. Nulla vieta che la figura venga rivestita da uno studio legale o da altro professionista esterno, fatti salvi i temi relativi al rispetto della deontologia professionale dell'ordine di appartenenza.

Funzioni

Il ruolo in commento rappresenta il titolare/responsabile per ogni obbligazione su questi gravante ai sensi del Regolamento.

Si configura dunque un potere di rappresentanza sostanziale in capo al rappresentante.

Quest'ultimo è tenuto a svolgere i suoi compiti nel rispetto del mandato conferitogli.

A mero titolo esemplificativo, spetta al rappresentante gestire la cooperazione – in aggiunta o in sostituzione del titolare/responsabile del trattamento – con le Autorità di controllo competenti per qualsiasi misura adottata al fine di garantire il rispetto del regolamento, nonché fungere da interlocutore degli interessati per l'esercizio dei diritti exartt. 15 ss. GDPR e per tutte le questioni riguardanti il trattamento.

Al rappresentante è poi demandata la conservazione dei documenti relativi alle attività di trattamento svolte, anche qualora siano richiesti in sede di ispezione e la predisposizione del registro dei trattamenti ove richiesto.

Lo svolgimento di tali compiti in nome e per conto del titolare e del responsabile del trattamento rende opportuna la scelta, quale rappresentante, di un soggetto che sia in grado di interloquire in diverse lingue.

Rimane dubbia invece l'esistenza di un potere di rappresentanza processuale, salvo il caso del patrocinio legale in giudizio. La designazione del rappresentante non esclude, infatti, la possibilità di promuovere azioni legali nei confronti del titolare o del responsabile del trattamento (art. 27.5 GDPR).

Responsabilità

La normativa non prevede specifiche sanzioni per le azioni compiute da un rappresentante non autorizzato o ultra vires. L'art. 27.5 si limita a chiarire che la società straniera rimane responsabile anche nel caso in cui abbia designato un proprio rappresentante. Non sono invece previste sanzioni a carico del rappresentante designato, in quanto l'art. 83.4.a non contempla il rappresentante tra i soggetti delle sanzioni.

Obbligatorietà e facoltatività della nomina

L'obbligo di designazione del rappresentante non grava su ogni titolare o responsabile del trattamento che, situato al di fuori dall'UE, sia soggetto all'applicazione del Regolamento.

Invero, la designazione del rappresentante è obbligatoria quando:

– il mandante non è un soggetto pubblico;

– trova applicazione l'art. 3.2 GDPR;

– il trattamento svolto non è occasionale;

– è incluso il trattamento su larga scala di dati particolari o giudiziari;

Dall'interpretazione letterale della norma, anche in relazione al considerando 80, si evince che le condizioni devono sussistere cumulativamente affinché ricorra l'obbligo di nominare il rappresentante.

Ciò è peraltro desumibile da un più approfondito esame dei criteri ermeneutici, che evidenzia come il legislatore comunitario non abbia utilizzato disgiuntive tra una condizione e l'altra, ma – al contrario – ha indicato le singole ipotesi elencandole separate solo da virgole.

Per comprendere quando, ricorrendo i presupposti innanzi delineati, sia obbligatoria la designazione di un rappresentante, è altresì necessario chiarire il concetto di stabilimento sul territorio dell'Unione, in quanto solo in assenza di stabilimento in uno degli Stati dell'Unione Europea, il titolare/responsabile straniero dovrà provvedere a determinare un ufficio di rappresentanza.

La definizione non è contenuta nel Regolamento, ma il considerando 22 chiarisce che il concetto di stabilimento implica l'effettivo e concreto svolgimento di attività nell'ambito di un'organizzazione stabile, ovvero il luogo in cui sono condotte le principali attività di trattamento dei dati sul territorio dell'Unione; ai fini dell'individuazione dello stabilimento per il Regolamento non è invece rilevante la forma giuridica specificamente adottata, sia essa una succursale o una filiale dotata di personalità giuridica.

Bibliografia

Bolognini, Pelino, Bistolfi, Il nuovo Regolamento Privacy Europeo, Milano, 2016; Calder, EU General Data Protection Regulation (GDPR) - An implementation and Compliance, United Kingdom, 2016; Lothar Dethermann, Representatives under Art. 27 of the GDPR: All your questions answered, IAPP, 2018.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario
Testo articolo
Inquadramento
Rappresentante del titolare o del responsabile
Designazione del rappresentante e rapporto con il titolare e il responsabile
Funzioni
Responsabilità
Obbligatorietà e facoltatività della nomina
Bibliografia