Articolo 24 GDPR

Responsabilità del titolare del trattamento

1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.
3. L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

SPIEGAZIONE

L’articolo 24 GDPR apre il CAPO IV, interamente dedicato a due figure centrali: il titolare del trattamento e il responsabile del trattamento.

Sussiste in capo al titolare del trattamento una responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure.

La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità de trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato. Le misure devono essere adottate in particolare se:

• il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo;
• se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano;
• se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza;
• in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali;
• se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.

Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza.

Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche. Pertanto, non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica dovrebbe essere corredata delle ragioni del ritardo e le informazioni potrebbero essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

L’articolo 24 GDPR è completato dall’art. 85 GDRP (“Diritto al risarcimento e responsabilità“), in virtù del quale:

• ai sensi del primo paragrafo, chiunque subisca un “danno materiale o immateriale” causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento;
• il paragrafo successivo aggiunge che il titolare risponde per il danno cagionato dal trattamento non conforme agli obblighi imposti dal Regolamento;
• il quarto paragrafo istituisce un regime di responsabilità solidale tra titolare e responsabile, qualora siano entrambi coinvolti. Dunque, se vi sono più titolari o responsabili, essi sono responsabili in solido (ai sensi dell’art. 2055 c.c.) per l’intero danno, al fine di garantire il risarcimento effettivo dell’interessato;
• con il quinto paragrafo si intende redistribuire, nei rapporti interni, le conseguenze patrimoniali del danno commesso. Per tale motivo è previsto che, una volta che il titolare abbia risarcito l’intero ammontare del danno, abbia il diritto di reclamare dagli altri titolari o responsabili, coinvolti nello stesso trattamento, la parte del risarcimento corrispondente alla loro parte di responsabilità;
• infine, il paragrafo sei prevede che le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno siano promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello stato membro di cui all’art. 79 paragrafo 2.

Rimani aggiornato, segui la nostra pagina Facebook!

Pagina creata da FreeAttitude.net