Titolare, DPO, Responsabili e Incaricati: facciamo chiarezza

Il Regolamento (UE) 2016/679 introduce la nuova figura del DPO e detta nuove direttive per il Responsabile del trattamento oltre a richiamare la figura dell’incaricato al trattamento.

Elaboriamo schematicamente le caratteristiche e differenze.

Il TITOLARE

    • E’ il soggetto principale della normativa, è chi detiene i dati personali e ne determina le finalità e le modalità del trattamento
    • Coincide spesso con la figura dell’amministratore della società.
    • Determina e approva le misure di sicurezza tecniche e organizzative dell’attività
    • In poche parole: E’ la società nella figura del suo amministratore

Il DPO

    • E’ il soggetto designato dal titolare per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo.
    • Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali
    • Non sono richieste specifiche attestazioni formali, ma deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure che caratterizzano lo specifico settore di riferimento.
  • Deve inoltre agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.
  • Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, collaborando col il titolare.
  • Deve inoltre agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.
  • Deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti.
  • DPO Interno e Esterno: se il DPO è esterno può essere una persona giuridica, se è interno deve essere una persona fisica.
  • Il DPO non deve essere mai in conflitto di interessi
  • In poche parole: è una figura indipendente dal titolare che svolge funzioni di supporto, controllo e formazione. Non dipende dal titolare e non deve essere in conflitto di interessi.

Il Responsabile del trattamento

  • Si ricorre a responsabili del trattamento qualora un trattamento venga svolto per conto del titolare
  • Il Responsabile del trattamento deve presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a garantire l’applicazione del GDPR nel suo ambito di competenza
  • La nomina va disciplinata con un contratto (o altro atto analogo) e che definisca la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
  • Il responsabile del trattamento garantisce che quanto ricade sotto la sua responsabilità sia svolto a norma del GDPR
  • Il responsabile collabora e coopera attivamente con il titolare
  • Il Responsabile del trattamento risponde direttamente in caso di violazione del regolamento o di richiesta danni da parte dell’interessato.
  • In poche parole: è persona (fisica/giuridica) che svolge autonomamente un trattamento seppur sotto il diretto controllo del Titolare. Società di Hosting, Commercialisti e centri paghe, e società esterne di marketing sono solo alcuni esempi

GLI INCARICATI AL TRATTAMENTO

  • Sono le persone che trattano materialmente i dati personali.
  • Gli incaricati al trattamento vengono citati ne GDPR in diversi articoli, principalmente all’art.4 “[…] e persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”
  • Sono quindi i dipendenti, i collaboratori, gli stagisti e ogni figura che il titolare autorizza a trattare i dati
  • E’ necessario nominarli e attribuire loro i trattamenti che possono svolgere e, se necessario, istruzioni a riguardo.
  • Per garantire un trattamento lecito è anche opportuno che vengano adeguatamente formati.
  • In poche parole: I dipendenti, collaboratori e le altre figure che trattano i dati in azienda
Condividi