Ruoli e responsabilità: Titolare, Responsabili, Incaricati, DPO

Il Regolamento Generale Europeo sulla Protezione dei Dati (GDPR) definisce anzitutto ruoli e responsabilità nella gestione della privacy e del trattamento dei dati all’interno di un’azienda. È importante, dunque, avere bene a mente la distinzione dei compiti e dei ruoli imposti dalla nuova normativa prima di affrontare il tema dei presupposti del trattamento lecito di dati personali.

Di seguito elenchiamo le specifiche delle quattro figure di riferimento della nuova disciplina.

Il Titolare del Trattamento

  • è il soggetto principale della normativa, il destinatario principale degli obblighi previsti dal GDPR;
  • è il soggetto che determina le finalità e le modalità del trattamento, e generalmente li detiene e gestisce;
  • determina e adotta le misure di sicurezza tecniche e organizzative necessarie per adeguare il trattamento ai requisiti della normativa;
  • è possibile che esistano più titolari del trattamento, ovvero “contitolari” che decidono congiuntamente finalità e modalità del trattamento. In questi casi, l’art. 26 del GDPR impone ai contitolari di definire specificamente, con un atto giuridicamente valido, i rispettivi compiti e responsabilità.

Il Responsabile del trattamento

  • Si ricorre a responsabili del trattamento qualora un trattamento venga svolto “per conto” del titolare;
  • Il Responsabile del trattamento deve presentare garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate a garantire la corretta applicazione del GDPR nel suo ambito di competenza;
  • La nomina va disciplinata con un contratto (o altro atto analogo) che definisca la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento;
  • l responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento;
  • Il responsabile del trattamento garantisce che quanto ricade sotto la sua responsabilità sia svolto a norma del GDPR;
  • Il responsabile collabora e coopera attivamente con il titolare;
  • Il Responsabile del trattamento risponde direttamente in caso di violazione del regolamento o di richiesta danni da parte dell’interessato;

Gli incaricati del trattamento

  • Sono le persone che trattano materialmente i dati personali, già previste nella normativa italiana del 2003 (c.d. “Codice Privacy”, d.lgs. 196/2003);
  • Il GDPR non parla di “incaricati”, ma in questa figura si riconducono i c.d. “autorizzati di cui all’art. 4: “[…] persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”;
  • Sono i dipendenti, i collaboratori, gli stagisti e ogni figura che il titolare autorizza a trattare i dati, a ciò espressamente istruiti;
  • È necessario attribuire loro istruzioni per lo svolgimento delle attività di trattamento;
  • Per garantire un trattamento lecito, è opportuno che vengano adeguatamente formati.

Il DPO (Data Protection Officier)

Il Regolamento 2016/679 introduce la nuova figura del Data Protection Officier (DPO) o Responsabile della Protezione dei Dati (RPD).

  • È il soggetto designato dal titolare per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento Privacy;
  • Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali;
  • Non sono richieste specifiche attestazioni formali, ma deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure che caratterizzano lo specifico settore di riferimento;
  • Deve agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici;
  • Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, collaborando col il titolare;
  • Deve poter disporre di risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti.

Il DPO può essere interno o esterno al Titolare. Se il DPO è esterno, può essere anche una persona giuridica; se è interno, deve essere necessariamente una persona fisica. In entrambi i casi valgono i medesimi requisiti e le medesime condizioni (in particolare: assoluta indipendenza e assenza di conflitto di interessi rispetto al titolare).

Nei casi diversi da quelli previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento dei dati (RTP o DPO) non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti).

In ogni caso, la designazione di tale figura risulta fortemente raccomandata, anche alla luce del principio di “accountability” che permea il Regolamento.