Di seguito si analizza la concezione che il GDPR ha di un’operazione di trattamento.
L’art. 5(1)(f) GDPR afferma la necessità di “protezione contro il trattamento non autorizzato”… Ciò implica che il trattamento ordinario deve essere autorizzato. È anche chiaro dal contesto che tale autorizzazione deve provenire dal titolare del trattamento che ha la piena responsabilità del trattamento. Ma come può un titolare del trattamento limitare il trattamento a ciò che è autorizzato?
Una risposta parziale a questa domanda può essere trovata nell’art. 29 GDPR: “Il responsabile del trattamento e chiunque agisca sotto l’autorità del titolare del trattamento o del responsabile del trattamento, che abbia accesso ai dati personali, non deve trattare tali dati se non su istruzioni del titolare del trattamento, [..]”. Anche l’art. 32(4) GDPR usa una formulazione molto simile. L’art. 29 GDPR implica la seguente concezione:
- L’operazione di trattamento è eseguita da “una persona fisica che agisce sotto l’autorità del titolare del trattamento o delresponsabile del trattamento“. Tali persone sono il più delle volte dipendenti del titolare del trattamento, ma potrebbero anche lavorare per un responsabile o lavorare senza un effettivo impiego[1]. Sono chiamate risorse umane nel seguito. Si noti che queste persone controllano a loro volta i mezzi tecnici che supportano o automatizzano parzialmente il trattamento[2].
- Il mezzo con cui un titolare del trattamento assicura che solo il trattamento autorizzato abbia luogo è attraverso l’emissione di istruzioni.
Per assicurare che solo il trattamento autorizzato abbia luogo, le istruzioni devono specificare tutti gli aspetti rilevanti dell’attività di trattamento: chi, quando, cosa e come. In altre parole, le risorse umane devono agire solo su istruzione (chi, quando) e secondo le istruzioni (cosa, come).
Anche se con meno chiarezza, il GDPR afferma anche che le risorse tecniche sono necessarie. Questo è molto chiaro nel considerando 39 (frase 12) che parla delle “attrezzature utilizzate per il trattamento“. Altri termini relativi alle risorse tecniche che vengono utilizzati nel GDPR sono “attrezzature per il trattamento dei dati” nell’Art. 58(1)(f) e “sistemi di trattamento” nell’Art. 32(1)(b).
Mentre il GDPR usa il termine istruzione solo nel contesto delle risorse umane, è chiaro che anche le risorse tecniche richiedono istruzioni per eseguire solo il trattamento autorizzato. Nel dominio tecnico, il termine istruzioni macchina è usato qui. Un tipo importante di tali istruzioni è il software.
In sintesi, quando si guarda a una risorsa individuale (umana o tecnica), il GDPR ha la seguente concezione di un’operazione di trattamento:
operazione di elaborazione individuale |
Nella maggior parte dei casi, le operazioni complessive di elaborazionecoinvolgono un sistema di una moltitudine di risorse umane e tecniche che interagiscono. Questo si esprime nel seguente modo:
operazioni complessive di trattamento moltitudine di singole operazioni di trattamento |
Figura 5: La concezione del GDPR di un trattamento.
La Figura 5 illustra il concetto di trattamento del GDPR in un contesto più ampio. Illustra il dominio di responsabilità del titolare del trattamento con un riquadro tratteggiato. Il titolare del trattamento determina le operazioni di trattamento autorizzate emettendo o selezionando/approvando[3] istruzioni sia alle risorse umane (HR) che agiscono sotto la sua autorità (vedi art. 29 GDPR) sia alle risorse tecniche (TR) sotto il suo controllo. Tutte le risorse interagiscono per formare il sistema complessivo di trattamento. Il contesto di questo sistema di trattamento è definito dagli interessati che interagiscono con le risorse umane e/o tecniche e, facoltativamente, con i destinatari terzi (cfr. art. 4(9) e (10) GDPR) ai quali le risorse comunicano i dati personali.
Questo modello di elaborazione rappresenta l’elaborazione autorizzata dal titolare del trattamento. Viene utilizzato nella prossima sezione per capire meglio cosa comporta effettivamente la determinazione dei mezzi.
- Vedi anche le Linee guida EDPB sui concetti di titolare e responsabile del trattamento nel GDPR, paragrafo 88 per una discussione sul significato di “persone che, sotto l’autorità diretta del titolare o del responsabile del trattamento, sono autorizzate a trattare dati personali”. ↑
- Si noti che anche nel caso di “elaborazione completamente automatica”, è sempre una persona che controlla tale elaborazione avviandola e fermandola. Il controllo da parte di una persona è ancora più evidente quando si guardano gli “strumenti” computerizzati che sono utilizzati da esseri umani attraverso un’interfaccia uomo-macchina. ↑
- La selezione e l’approvazione delle istruzioni da parte di un titolare avviene, per esempio, quando si acquista un software di serie o quando un titolare sceglie il servizio di un determinato responsabile del trattamento. ↑