Il Titolare del trattamento dei dati

Chi è il titolare del trattamento?

Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Il titolare ha l’obbligo di:

• mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento
• adottare politiche interne conformi al Regolamento
• essere in grado di dimostrare che il trattamento è conforme al Regolamento (principio
• dell’accountability)
• essere in grado di dimostrare di avere adottato misure (organizzative e tecniche) adeguate ed efficaci per la protezione dei dati personali.

Il titolare del trattamento decide autonomamente in ordine alle modalità del trattamento dei dati.

È possibile anche la contitolarità del trattamento: ciò avviene allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento.

In questo caso, determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente Regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato. L’accordo deve disciplinare in maniera esaustiva i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.

L’incaricato del trattamento dei dati

Chi è l’incaricato del trattamento?

Il regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano). Pur non prevedendo espressamente la figura dell'”incaricato” del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (come citato in particolare, art. 4, n. 10, del regolamento).

Il Responsabile del trattamento dei dati

Chi è il responsabile del trattamento?

Il responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Il responsabile è designato dal titolare con un contratto o con altro atto giuridico idoneo a vincolare detta figura nei confronti del titolare.

Il suddetto contratto deve necessariamente disciplinare:

• la durata, natura e finalità del trattamento
• le categorie dei dati oggetto del trattamento
• le categorie di interessati
• gli obblighi e diritti del titolare
• le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e del Regolamento.

Nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile, è consentita la nomina di sub-responsabili del trattamento da parte di un responsabile per specifiche attività di trattamento. Il responsabile risponde dell’inadempimento dell’eventuale sub-responsabile; esso è esonerato dalla responsabilità solo se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

Il Garante della Privacy italiano ha pubblicato una Guida per non incorrere in errate interpretazioni della norma.

Il Data Protection Officer (DPO)

Chi è il Data Protection Officer (DPO)?

Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese data protection officer – DPO) è una figura prevista dal Regolamento (UE) 2016/679.

Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

Il Data Protection Officer (DPO) ha il compito di analizzare, valutare e disciplinare la gestione del trattamento e della salvaguardia dei dati personali all’interno di un’azienda, secondo le direttive imposte dalle normative vigenti: potrà essere un soggetto interno (dipendente o collaboratore) o esterno (società di consulenza) e dovrà possedere competenze sia in aree giuridiche che informatiche e una ampia conoscenza della normativa. Egli esegue le proprie funzioni in completa indipendenza (senza ricevere alcuna istruzione o imposizione gerarchica) e riferisce sul suo operato direttamente ai vertici aziendali, i quali, per la piena esecuzione dei suoi compiti dovranno fornire risorse adeguate.

Quando è obbligatoria la designazione del Data Protection Officer?

La designazione del DPO è obbligatoria se:

• il trattamento è effettuato da un’autorità pubblica o un organismo pubblico (escluse le autorità giurisdizionali nell’esercizio delle loro funzioni),
• ovvero le attività principali del Titolare e del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessi su larga scala, o
• le attività principali del Titolare e del Responsabile del trattamento consistono in trattamenti su larga scala di categorie particolari di dati personali (ex “dati sensibili”: idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, biometrici e i dati giudiziari).

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

Strumenti utili

Il Registro per il Trattamento dei Dati

Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30. Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Raccomandazioni
La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali.
Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta. I contenuti del registro sono fissati, come detto, nell’art. 30; tuttavia,
niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti.