GE. DA. sas di Giancarlo Chillè & C.
Gestione Elaborazione Dati Aziendali
2. I ruoli nella protezione dei dati personali
Soffermarsi sui ruoli del trattamento dei dati personali consente di meglio comprendere in che termini e per quali finalità è intervenuto il legislatore comunitario con il Regolamento UE 2016/679.
Il ruoli maggiormente rilevanti sono:
I) il Titolare;
II) il Responsabile;
III) il sub-Responsabile;
IV) il Data Protection Officer (DPO).
Il decreto attuativo del Regolamento ha abrogato il Titolo IV del Codice Privacy, rubricato “Soggetti che effettuano il trattamento”, e dunque dovendosi, ad oggi, far riferimento alla sola fonte comunitaria per ottenere l’esatta definizione dei ruoli della privacy.
Il Titolare del trattamento è la persona fisica o giuridica che determina le finalità e i mezzo del trattamento di dati personali (sono qualificabili, ad esempio, come titolare della società, l’associazione professionale, l’avvocato, il commercialista, la fondazione, il consiglio dell’ordine ecc.).
Egli è tenuto ad adottare, e a dimostrare di aver adottato (e tanto in ottemperanza al principio di accountability), tutte le misure necessarie a garantire conformità del trattamento al GDPR, tenuto conto del contesto complessivo in cui si svolge il trattamento, nonché dei rischi per i diritti e le libertà degli interessati.
Il Regolamento, all’art. 26, prevede che in ogni caso in cui le finalità ed i mezzi del trattamento vengano determinati congiuntamente da parte di più titolari, potrà essere nominato uno o più contitolare/i del trattamento: il rapporto interno tra contitolari deve essere disciplinato da apposito accordo (reso disponibile a tutti gli interessati) avente ad oggetto le rispettive responsabilità e le rispettive funzioni di comunicazione delle informazioni.
Il Responsabile del trattamento è la persona fisica o giuridica che tratta dati personali per conto del Titolare del trattamento. La nomina del Responsabile del trattamento deve avvenire con apposito atto scritto, contratto, o comunque per clausole tipizzate, e deve contenere gli elementi individuati dall’art. 28 del GDPR e tassativamente almeno le materie riportate al paragrafo 3 della medesima disposizione, al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” (quali, in particolare, la natura, la durata e finalità del trattamento o dei trattamenti assegnati, e categorie di dati oggetto di trattamento; le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel Regolamento). La figura di Responsabile prevista dal Regolamento dovrebbe intendersi come figura esterna all’organizzazione del Titolare, sì da poterlo definire come “responsabile esterno”, rispetto all’organizzazione del titolare; tipicamente saranno nominati responsabili ai sensi dell’art. 28 del Regolamento le società informatiche, i commercialisti ecc. Il Responsabile può, a sua volta, nominare un sub-Responsabile, ma solo previa autorizzazione (generale o specifica) da parte del Titolare del trattamento.
Il GDPR, con riferimento alla figura del Responsabile, ha espresso preferenza per una esternalizzazione: la previsione di apposita nomina (mediante atto/contratto) e la tipizzazione degli elementi che tale nomina dovrà contenere è indirizzata a consentire di individuare la figura del Responsabile in un soggetto esterno alla società.
Lo studio professionale (in qualità di Titolare) nel momento in cui affiderà la gestione di alcuni dati personali a soggetti terzi (come la società che gestisce i servizi informatici) dovrà nominarli, mediante atto di nomina o contratto, come Responsabile ai sensi dell’art. 28 del GDPR.
Il Regolamento prevede la possibilità per il Titolare e per il Responsabile di avvalersi di persone autorizzate “al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”. Si tratta di soggetti interni, che ben potrebbero figurare nell’organigramma come dipendenti e collaboratori, i quali sono tenuti ad eseguire le operazioni come dipendenti e collaboratori, i quali sono tenuti ad eseguire le operazioni di trattamento secondo le finalità e le istruzioni impartite, ad assicurarsi che l’esecuzione delle operazioni di trattamento avvenga nel pieno rispetto dei principi generali del GDPR e ad adottare tutte le cautele necessarie ad evitare rischi di violazioni di dati (pertanto, anche nel caso di data breach). Tale previsione è stata confermata anche da Codice Privacy.
Il Titolare e il Responsabile, oltre a impartire specifiche istruzioni, dovranno preoccuparsi di formare ciclicamente le persone autorizzate sul GDPR, in modo che le stesse possano consapevolmente applicare la normativa in esame negli studi professionali.
Il Data Protection Officer (DPO) è una nuova figura, introdotta dal GDPR, ti tipo manageriale, che supporta l’attività del Titolare nel rispetto delle prescrizioni in tema di protezione dei dati, nonché nella supervisione dei profili di responsabilità giuridica derivanti dall’applicazione dei principio di accountability.
In ogni caso sarà il Titolare a dover costruire (previa analisi delle proprie esigenze e specifica valutazione) il proprio organigramma privacy ed il proprio sistema di gestione della stessa.
© Copyright 2020 - Ge. Da. sas di Giancarlo Chillè & C. - Codice fiscale e Partita IVA: 02505410924
Sede legale e amministrativa: Via Sidney Costantino Sonnino, 3 - 09125 - Cagliari (CA)
E-mail: info@gedasas.net - PEC: gedasascagliari@pec.it
Iscritta al Registro delle Imprese di Cagliari dal 20 maggio 1999 al n. REA 204106
Dal 1999 elaborazione dati per le imprese
Informazioni legali | Privacy Policy e Cookie Policy
Sito web by Chronos srl