Il Regolamento Generale sulla Protezione dei Dati (GDPR), svolge un ruolo cruciale nell’ambito della tutela dei dati personali, ripartendo obblighi e responsabilità di tale tutela tra Titolare del trattamento e Responsabile del trattamento.
La chiarezza nella comprensione di tali concetti è essenziale per garantire l’efficace attuazione del GDPR.
Titolare del trattamento
Ai sensi del GDPR, Titolare del trattamento “è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (…)”.
In linea di principio, non vi sono restrizioni sulla natura dei soggetti per il ruolo di titolare del trattamento; tuttavia, in pratica, è spesso l’organizzazione, e non una persona fisica all’interno (come l’amministratore delegato, un dipendente o un membro del consiglio di amministrazione), a essere titolare del trattamento.
Il titolare decide, pertanto, su elementi chiave del trattamento che può essere conseguenza di decisioni connaturate al proprio ruolo (es. datore di lavoro con i dipendenti, editore con gli abbonati o associazione con i membri) oppure derivare da uno specifico obbligo di legge.
Il titolare, pur determinando finalità e mezzi del trattamento, può delegare taluni aspetti dello stesso a un fornitore che, di conseguenza, assumerà il ruolo di responsabile del trattamento.
Responsabile del trattamento
Ai sensi del GDPR, il responsabile del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.”
Per essere responsabile del trattamento, è, in primis, necessario essere un soggetto distinto dal titolare e, quindi, trattare dati per suo conto.
Il responsabile non può elaborare i dati in modi diversi dalle istruzioni del titolare, ma dispone di una certa discrezionalità nell’adottare i mezzi tecnici più idonei. Violare le istruzioni impartite dal titolare e definire mezzi e finalità propri comporta che il responsabile venga considerato titolare del trattamento.
Rapporto tra titolare e responsabile del trattamento
Il titolare del trattamento deve selezionare solo responsabili che offrano garanzie adeguate nell’attuazione di misure tecniche e organizzative volte a proteggere i dati personali trattati per proprio conto, garantendo così la conformità al GDPR.
Gli elementi da considerare includono le competenze tecniche del responsabile, l’affidabilità, le risorse disponibili e l’adesione a codici di condotta o meccanismi di certificazione.
Come richiesto dal GDPR, ogni trattamento di dati personali da parte del responsabile deve essere regolamentato da un contratto o atto giuridico, redatto per iscritto.
L’accordo non è un copia e incolla delle disposizioni del GDPR, ma deve dettagliare in modo specifico come soddisfare i requisiti applicabili e il livello di sicurezza richiesto per il trattamento dei dati personali inclusi nell’accordo.
Esempi di Titolare e Responsabile del trattamento
Titolare
Il dipartimento marketing della società “ABC” lancia una campagna pubblicitaria per promuovere i suoi prodotti. Il dipartimento decide in merito alla natura della campagna, ai mezzi da utilizzare (e-mail, social media…), ai clienti ai quali rivolgersi e ai dati da utilizzare per ottenere il miglior risultato possibile.
Anche se il dipartimento marketing ha agito con notevole indipendenza, in linea di principio sarà considerata titolare del trattamento la società ABC, visto che la campagna pubblicitaria è avviata da tale società e si svolge nell’ambito delle sue attività commerciali e per le sue finalità.
Responsabile del trattamento
Il datore di lavoro “A” assume un’altra società “B” per gestire il pagamento degli stipendi ai propri dipendenti, impartendo istruzioni chiare su chi pagare, sugli importi, entro quale data, a quale banca, per quanto tempo i dati sono archiviati, quali dati comunicare all’amministrazione fiscale ecc.
In tal caso, il trattamento dei dati è effettuato affinché la società “A” eroghi gli stipendi ai dipendenti e il responsabile delle buste paga “B” non possa utilizzare i dati per finalità proprie. Il modo in cui quest’ultimo dovrebbe effettuare il trattamento è sostanzialmente definito in modo chiaro e rigoroso.
Tuttavia, il responsabile delle buste paga “B” può decidere su talune questioni specifiche relative al trattamento, tra cui il software da utilizzare, le modalità di distribuzione dell’accesso all’interno dell’organizzazione ecc. Ciò non altera il suo ruolo di responsabile del trattamento, a condizione che si limiti a trattare i dati in base alle istruzioni impartite dalla società “A”.
Due brevi esempi per rimarcare l’attenzione da prestare nel gestire correttamente il trattamento dei dati personali, per non incorrere in sanzioni. Si tratta di una prassi ormai entrata stabilmente non solo in ambito strettamente legale, ma prima di tutto in una rinnovata mentalità imprenditoriale. Trattandosi di materia specifica è bene affidarsi agli addetti ai lavori per sciogliere ogni dubbio riguardo la corretta individuazione della figura del Responsabile all’interno dei Fornitori.
Vuoi saperne di più sulla tutela dei dati personali?
