I PRINCIPALI SOGGETTI DEL GDPR

TUTTE LE FIGURE COINVOLTE NELLA NORMATIVA

Le figure che agiscono nell’ambito della privacy sono: 

  • l’INTERESSATO
  • il TITOLARE del trattamento dei dati
  • il RESPONSABILE del trattamento dei dati 
  • l’INCARICATO al trattamento dei dati 
  • il RESPONSABILE della protezione dei dati
  • il GARANTE della privacy 

L’INTERESSATO AL TRATTAMENTO (Data Subject) 

L’interessato è la persona fisica a cui si riferiscono i dati personali.

È la figura più importante perché è per tutelare i suoi diritti e le sue libertà che esistono e lavorano tutte le altre. 

Il TITOLARE DEL TRATTAMENTO DEI DATI (Data Controller) 

È il soggetto (persona fisica, giuridica, pubblica amministrazione o ente) che decide quali sono i dati dell’interessato da utilizzare, in che modo e per quali finalità 

È tenuto a dimostrare agli organi di controllo che è consapevole del suo ruolo e dell’impatto che il trattamento dei dati può avere sui diritti e sulle liberà degli interessati. Per fare ciò, prima di iniziare le attività di trattamento, deve eseguire una valutazione dei rischi e adottare le misure tecniche e procedurali idonee a ridurli. 

In caso di inadempienza risponde per il danno cagionato all’interessato.

Il RESPONSABILE DEL TRATTAMENTO DEI DATI (Data Processor) 

È il soggetto (persona fisica, giuridica, pubblica amministrazione o ente) che tratta i dati personali per conto del Titolare. 

Si tratta di un soggetto distinto dal Titolare la cui nomina avviene con un contratto che disciplina materia, durata, natura e finalità del trattamento dei dati personali trattati. 

Alcuni esempi di attività che, se esternalizzate, richiedono la nomina di un responsabile del trattamento, sono: 

  • elaborazione di buste paghe 
  • tenuta della contabilità 
  • software di archiviazione in cloud 
  • videosorveglianza 
  • servizi per il mail marketing 

Nei casi di inadempienza il responsabile del trattamento risponde in solido con il titolare per i danni cagionati all’interessato. 

L’INCARICATO/ADDETTO AL TRATTAMENTO DEI DATI  

È il soggetto (solo persona fisica) che effettua materialmente le operazioni di trattamento sui dati personali. 

È un esecutore. Non può agire in autonomia e si deve attenere scrupolosamente alle istruzioni ricevute dal Titolare e/o Responsabile, di conseguenza le sue responsabilità sono minori. 

 

La nomina non prevede un atto formale, ma è fondamentale che riceva una formazione appropriata da parte del titolare e/o del responsabile. Tale formazione va ripetuta e, se necessario, aggiornata nel tempo. Il titolare e il responsabile sono tenuti a dimostrare agli organi di controllo che la formazione è stata effettuata e verificata. 

Il RESPONSABILE PER LA PROTEZIONE DATI (RPD/DPO) 

È il soggetto (persona fisica o giuridica) designato dal titolare che svolge funzioni di supporto e controllo, consultive, formative e informative finalizzate a garantire l’osservanza del regolamento. Nell’assolvere le sue funzioni non dipende dal titolare ma agisce in piena autonomia e in assenza di conflitti di interesse. 

Collabora con l’Autorità di controllo e gli interessati, fungendo da punto di contatto per facilitare l’accesso ai documenti e alle informazioni in caso di ispezioni, richieste di informazioni o esercizio dei diritti. 

La sua nomina è obbligatoria solo nei casi specificamente previsti dal GDPR. 

Il ruolo del DPO può essere affidato un dipendente, purché il suo inquadramento non costituisca un limite alla sua libertà di azione, oppure ad un fornitore esterno (libero professionista o azienda) tramite apposito contratto. 

Non essendo personalmente responsabile dell’inosservanza degli obblighi imposti dal GDPR (responsabilità che spetta al Titolare e al Responsabile) il DPO risponde solo dello svolgimento dei suoi obblighi di consulenza e assistenza. Nei suoi confronti il Titolare può avanzare pretese risarcitorie unicamente basate sulla responsabilità contrattuale. 

 

Il GARANTE PER LA PROTEZIONE DEI DATI PERSONALI 

Il Garante per la protezione dei dati personali, o Garante della Privacy, è un’autorità amministrativa indipendente. Ogni Stato membro dell’Unione Europea ha la sua.  

 

In particolare ha il compito di: 

  • controllare che i trattamenti dei dati personali siano effettuati nel rispetto del regolamento privacy e delle leggi nazionali; 
  • ricevere ed esaminare ricorsi, reclami e segnalazioni; 
  • nei casi di trattamenti che violano il regolamento, ammonire titolari e responsabili o imporre limitazioni o blocchi delle attività di trattamento 
  • quando necessario, adottare i provvedimenti previsti dalla normativa ed erogare le dovute sanzioni amministrative e penali; 
  • promuovere la conoscenza della normative sulla protezione dei dati personali;

In Italia l’organo di controllo che, nella maggior parte dei casi, effettua le verifiche ispettive nelle sedi dei titolari e dei responsabili è la guardia di finanza. 

I soggetti appena descritti ricoprono ruoli interconnessi perciò, affinché la la privacy dei dati sia garantita, le loro interazioni devono essere efficaci e attendibili .

È da questa consapevolezza che è nato il progetto PersonalDOX, il cui obiettivo è proprio quello di creare uno spazio dove tutti questi soggetti possano operare sinergicamente per raggiungere una maggiore tutela dei diritti e delle libertà degli interessati. 
 

FONTI 

“Compiti del Garante”, www.garanteprivacy.it, https://www.garanteprivacy.it/home/autorita/compiti 

 

“Titolare – Responsabile – Incaricato/persona autorizzata al trattamento”, www.garanteprivacy.it, 

https://www.garanteprivacy.it/incaricati-del-trattamento 

Condividi:

Facebook
LinkedIn

Articoli collegati