Home

Regolamento - 27/04/2016 - n. 679 art. 4 - Definizioni

Ada Fiaschi

Definizioni

Ai fini del presente regolamento s'intende per:

1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

3) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro;

4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;

5) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

6) «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

7) «titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;

8) «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

9) «destinatario»: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

10) «terzo»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile;

11) «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati;

13) «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;

14) «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici;

15) «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

16) «stabilimento principale»:

a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell'Unione e che quest'ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;

b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se il responsabile del trattamento non ha un'amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;

17) «rappresentante»: la persona fisica o giuridica stabilita nell'Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell'articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;

18) «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un'attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un'attività economica;

19) «gruppo imprenditoriale»: un gruppo costituito da un'impresa controllante e dalle imprese da questa controllate;

20) «norme vincolanti d'impresa»: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune;

21) «autorità di controllo»: l'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51;

22) «autorità di controllo interessata»: un'autorità di controllo interessata dal trattamento di dati personali in quanto:

a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo;

b) gli interessati che risiedono nello Stato membro dell'autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure

c) un reclamo è stato proposto a tale autorità di controllo;

23) «trattamento transfrontaliero»:

a) trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure

b) trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

24) «obiezione pertinente e motivata»: un'obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l'azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all'interno dell'Unione;

25) «servizio della società dell'informazione»: il servizio definito all'articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio;

26) «organizzazione internazionale»: un'organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

Inquadramento

Il regolamento definisce non solo i concetti di titolare del trattamento e di responsabile del trattamento, ma anche quelli di destinatario e di terzo. A differenza di quanto avviene per il titolare e il responsabile del trattamento, il regolamento non stabilisce obblighi o responsabilità specifici per i destinatari e i terzi. Ai sensi dell'art. 4.10 del Regolamento (UE) n. 2016/679, di seguito anche “GDPR”, per “terzo” si intende: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile.

Con il termine “terzo” si intendepertanto un soggetto giuridicamente diverso dal titolare, dalresponsabile del trattamento e dalle persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile del trattamento, i quali sono quindi considerati il “nucleo centrale” del trattamento dei dati, e non rientrano nel campo d'applicazione delle particolari disposizioni relative ai terzi. Deve essere considerato terzo qualunque soggetto che non sia specificatamente autorizzato dal titolare. Il GDPR come già la direttiva n. 95/46/CE usano il termine “terzi” in modo non tanto diverso da quello in cui tale concetto è generalmente utilizzato nel diritto civile, secondo cui il terzo è di solito un soggetto che non è parte di un'entità o di un accordo (senza valore normativo ma di riferimento istituzionale, Guidelines EDPB 05/2021; CoE-FRA-EDPS, Manuale europeo in materia di protezione di dati, 2018).

A Per “terzo” si intende pertanto un soggetto che, nella specifica situazione in esame, non è né un interessato, né un titolare del trattamento, né un responsabile del trattamento o un dipendente. Ad esempio, il titolare del trattamento può assumere un responsabile del trattamento e incaricarlo di trasferire dati personali a terzi. Tale terzo sarà quindi considerato titolare a tutti gli effetti del trattamento che effettua per le proprie finalità. Va notato che, all'interno di un gruppo di società, una società diversa da quella del titolare del trattamento o del responsabile del trattamento è un terzo, anche se appartiene al medesimo gruppo al quale appartiene la società che agisce in qualità di titolare o di responsabile del trattamento (EDPB 07/2020 Versione 2.0 adottate il 7 luglio 2021).

Pertanto il terzo è quella persona che non ha alcun rapporto con i soggetti che a vario titolo sono coinvolti nel trattamento dei dati (Riccio-Scorza-Belisario).

La distinzione tra destinatari e terzi è importante solo in ragione delle condizioni previste per la legittima divulgazione dei dati. I “destinatari terzi” di dati, quindi, dovranno essere sempre legittimati da una base giuridica per poter ricevere lecitamente i dati personali. Pertanto per la divulgazione dei dati a terzi, il titolare e il responsabile avranno l'onere di valutare la specifica base giuridica che la legittima, ai sensi dell'art. 6 del GDPR. A tale riguardo, ad esempio, andrà valutata la correttezza della base giuridica anche quando la comunicazione di dati personali ad un terzo avviene per l'esercizio di un diritto in sede giudiziaria.

I terzi devono essere definiti in fase di raccolta dei dati ed indicati nell'informativa diretta agli interessati, anche solo per categorie; possono ricevere tali dati per eseguire trattamenti per conto del titolare, o per conseguire proprie specifiche finalità. Se i terzi risiedono al di fuori del territorio dell'Unione europea, occorre che il titolare verifichi l'esistenza di specifiche garanzie per la protezione dei dati, prima di trasferire i dati. Le norme rilevanti sono innanzitutto gli artt. 13 e 14 del GDPR, i quali delineano in modo tassativo quelli che devono essere i contenuti di una corretta informativa.

A titolo esemplificativo le persone che lavorano in un'altra impresa giuridicamente distinta dal titolare del trattamento, anche se facente parte di uno stesso gruppo o holding, saranno (o faranno parte di) “terzi”. Per contro, le succursali di una banca che trattano dati contabili della clientela sotto l'autorità diretta della sede centrale non dovrebbero essere considerate come “terzi” (CoE-FRA-EDPS, §2.3.2).

Una ipotesi che merita di essere presa in considerazione è quella descritta dal previgente Gruppo WP 29 istituito dalla Direttiva n. 95/46/CE del Parlamento europeo e del Consiglio, che indica inoltre l'ipotesi dell'accesso non autorizzato da parte di un dipendente di una società, nell'esercizio delle sue funzioni, il quale viene a conoscenza di dati personali a cui non ha diritto di accedere. In questo caso, il dipendente va considerato come un “terzo” rispetto al suo datore di lavoro, con tutte le relative conseguenze e le responsabilità in termini di liceità della comunicazione e di trattamento dei dati (senza valore normativo ma di riferimento istituzionale WP29, op. 1/2010).

Parimenti a quanto previsto nell'art. 4.9 Reg. (UE) 2016/679, se il destinatario risiede al di fuori del territorio dell'Unione europea, occorre che il titolare verifichi l'esistenza di specifiche garanzie per la protezione dei dati, prima di trasferire i dati (art. 14, Reg. (UE) 2016/679). In mancanza di una decisione di adeguatezza, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un'organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Possono costituire garanzie adeguate di cui al paragrafo senza necessitare di autorizzazioni quelle indicate all'art. 46 del Regolamento, quali norme ad esempio le norme vincolanti di impresa, le clausole di protezione adottate dalla commissione e i codici di condotta.

In merito alla nozione di terzo ed alle condizioni previste per la legittima divulgazione dei dati, si ritiene utile riportare il seguente Provvedimento della Autorità Garante emesso nell'ambito di verifiche compiute in relazione sull'uso delle app nel settore pubblico. Il Garante difatti ha adottato un provvedimento nei confronti di Roma Capitale in relazione ai trattamenti di dati personali dei dipendenti e degli utenti posti in essere mediante il sistema denominato “TuPassi”, fornito da una società terza, per la gestione delle prenotazioni dei servizi erogati al pubblico e delle code allo sportello. Atteso che le funzioni svolte dall'Ente per assicurare l'assistenza e la manutenzione del sistema comportano anche un trattamento di dati personali di cui lo stesso è titolare (dati personali dei dipendenti ed eventualmente degli utenti che non abbiano effettuato la prenota zione direttamente tramite i servizi della società fornitrice del sistema), il Garante ha concluso che, anche sotto questo profilo, il trattamento dei dati personali non risulta conforme alla disciplina di riferimento (art. 29 del Codice in relazione ai trattamenti effettuati fino al 24 maggio 2018 e, successivamente, art. 28 del RGPD), dando luogo a una comunicazione illecita di dati personali (cfr. la nozione di “terzo” di cui all'art. 4, par. 1, punto 10, del RGPD; art. 2-ter del Codice). Il Garante ha inoltre ritenuto che le misure tecniche e organizzative adottate dall'Ente non fossero adeguate agli specifici rischi connessi al trattamento; per tali ragioni, ha ingiunto al titolare di conformare il trattamento alle disposizioni menzionate del RGPD e del Codice e di adottare adeguate azioni correttive volte ad eliminare le criticità tecniche e organizzative (provv. 7 marzo 2019, n. 81, doc. web n. 9121890).

Un altro ulteriore Provvedimento in merito alla illegittima comunicazione di dati personali verso terzi è stato emesso con Ordinanza ingiunzione nei confronti di Intesa Sanpaolo S.p.A. - 26 maggio 2022; Registro dei provvedimenti; n. 202 del 26 maggio 2022. Nel caso di specie un “un dipendente della filiale aveva dato positivo seguito alla richiesta di copia della movimentazione del conto formulata per le vie brevi dal signor XX, in precedenza facoltizzato ad operare sul rapporto in qualità di esercente la potestà parentale (genitore) fino al raggiungimento della maggiore età dell'interessata”; alla predetta banca è stato pertanto intimato il pagamento di 100.000 € per la violazione degli artt. 5, par. 1, lett. a) e f) e 6 del Regolamento.

Sanzioni amministrative

Come già rappresentato in relazione al destinatario, oggetto di analisi più approfondita in un ulteriore commento della presente opera, la violazione delle disposizioni relative ai trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale sono punite ai sensi dell'art. 83 in conformità del paragrafo 2, con sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

Trattamento ulteriore dei dati per il riutilizzo nell'ambito delle finalità di ricerca scientifica

Una importante condizione di liceità del trattamento dei dati personali da parte di terzi è stata introdotta dall'art. 110-bis cod. privacy novellato dal d.lgs. n. 101/2018. Tale articolo già aggiunto dall'art. 28, comma 1, lettera b) della l. n. 167/2017, recante “Disposizioni per l'adempimento degli obblighi derivanti dall'appartenenza dell'Italia all'Unione europea, prevede che il Garante per la protezione dei dati personali può autorizzare il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, nell'ambito delle finalità di ricerca scientifica ovvero per scopi statistici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati, ritenute idonee a tutela degli interessati.

La disposizione prevede una limitazione dell'ambito soggettivo, ovvero la disposizione si applica solo a coloro che “svolgono principalmente” attività statistica o di ricerca scientifica, dunque terzi professionisti. Il descritto potere autorizzativo ha sollevato delle osservazioni, poiché ritenuto discorde rispetto l'impostazione europea, che agli artt. 9.2.j) e 14.5.b) disegna una disciplina libera da permessi dell'autorità. Difatti il principio di legittimità individuato dal legislatore europeo, troverebbe già fonte di legittimità già nelle disposizioni del GDPR che ritiene utile per la società il facilitare la ricerca scientifica a condizioni e garanzie adeguate previste dal diritto dell'Unione o degli Stati membri (Pelino, in Bolognini, Pelino, par. 9.4; intervista di Bolognini in Istituto Italiano Privacy 2 dicembre 2017). L'autorizzazione è richiesta ove sussistano carenze nella informativa.

Viene altresì precisato che non costituisce trattamento ulteriore da parte di terzi il trattamento dei dati personali raccolti per l'attività clinica, a fini di ricerca, da parte degli Istituti di ricovero e cura a carattere scientifico, pubblici e privati, in ragione del carattere strumentale dell'attività di assistenza sanitaria svolta dai predetti istituti rispetto alla ricerca, nell'osservanza di quanto previsto dall'art. 89 del Regolamento.

L'eccezione per gli IRCCS non dovrebbe essere intesa in senso tassativo, ma dovrebbe essere estesa, ove possibile, a tutti i soggetti dell'ordinamento che trovandosi nelle medesime condizioni svolgono principale attività statistica e di ricerca (in questo senso Pelino,inBolognini, Pelino, par. 9.4). L'autorizzazione è richiesta ove sussistano carenze nella informativa.

Bibliografia

Bolognini-Pelino,-Bistolfi, Il Regolamento Privacy Europeo, Milano, 2016; Bolognini-Pelino, Codice Privacy: tutte le novità del d.lgs. 101/2018, Milano, 2018 23; CoE-FRA-EDPS, Manuale europeo in materia di protezione di dati, in fra.europa.eu2018; senza valore normativo ma di riferimento istituzionale: WP29, op. 1/2010 [wp 169]; Garante per la protezione dei dati personali relazione annuale 2017; Panetta, GDPR, sanzioni e responsabilità: tutto ciò che c'è da sapere, in Agenda digitale, 11 settembre 2018; Riccio-Scorza-Belisario, GDPR e normativa Privacy commentario, Milano, 2018, Milano 2018.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario
Testo articolo
Inquadramento
Sanzioni amministrative
Trattamento ulteriore dei dati per il riutilizzo nell'ambito delle finalità di ricerca scientifica
Bibliografia