Il titolare del trattamento dei dati è una figura fondamentale nell’ambito dell’organizzazione, dell’ente o dell’azienda. In questo articolo vediamo quali sono le sue funzioni, le responsabilità e gli adempimenti in materia di privacy.
Nell'articolo
Titolare del trattamento
La definizione di Titolare del Trattamento dati personali è riportata nell’art. 4 del DGPR.
Il titolare del trattamento è definito come la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Quando le finalità, le condizioni e i mezzi del trattamento sono determinati dal diritto dell’Unione o dal diritto di uno Stato membro, il titolare del trattamento o i criteri specifici applicabili alla sua nomina possono essere designati dal diritto dell’Unione o dal diritto dello Stato membro.
Quindi chiunque desideri acquisire i dati personali di un interessato diventa automaticamente titolare del trattamento.
Chi è il Titolare del trattamento
Per “Titolare del trattamento” deve intendersi la persona fisica o giuridica che determina (decide) le finalità ed i mezzi del trattamento.
Salvo casi particolari, il Titolare è l’entità nel suo complesso; di conseguenza, ogni ufficio o articolazione di cui si compone un ente, o un’azienda, è parte del Titolare stesso.
Trattamento dei dati personali
I dati personali vanno trattati secondo quando stabilito dal Regolamento (UE) 2016/679 (in sintesi, GDPR, applicabile dal 25 maggio 2018) che rappresenta la nuova disciplina europea in materia di protezione
dei dati personali.
Per “dato personale” s’intende qualsiasi informazione concernente, direttamente o indirettamente, la persona fisica. Di conseguenza, anche un numero di matricola, un indirizzo IP, o un codice identificativo,
ovvero sigle o numeri che si riferiscano univocamente (che possano essere associati) ad un determinato soggetto, sono qualificabili come dati personali.
Cosa si intende per trattamento dei dati personali
Le “Operazioni” del trattamento sono quelle, compiute con o senza l’ausilio di processi automatizzati, di seguito indicate: raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento
o modifica, estrazione, consultazione, uso, (comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione), raffronto o interconnessione, limitazione, cancellazione
o distruzione. Sin dal 2005, il Garante ha espresso la necessità di porre particolare attenzione alle operazioni più rischiose, quali: comunicazione, diffusione, interconnessione e raffronto.
Cosa spetta al Titolare del Trattamento dati personali?
Il titolare del trattamento dei dati è tenuto ad adottare politiche e attuare misure adeguate a garantire che il trattamento dei dati personali sia conforme alla normativa.
Oltre alla legittima conservazione della documentazione ed all’attuazione dei necessari requisiti di sicurezza dei dati, è prevista:
- l’esecuzione della valutazione d’impatto sulla protezione dei dati (concetto del tutto nuovo),
- il rispetto dei requisiti di autorizzazione preventiva o di consultazione preventiva dell’autorità di controllo (autorità pubblica istituita da uno Stato membro, incaricata di sorvegliare l’applicazione del Regolamento e di contribuire alla sua coerente applicazione in tutta l’Unione) e del responsabile della protezione dei dati,
- la designazione di un responsabile della protezione dei dati e la definizione di informazioni e comunicazioni trasparenti da fornire all’interessato.
Titolare del trattamento: principio di trasparenza
In virtù del principio di trasparenza, l’art. 12 del Regolamento sancisce che:
- il titolare del trattamento debba adottare misure appropriate per fornire all’interessato tutte le informazioni necessarie e le comunicazioni relative al trattamento dei dati personali
- in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. In particolare nel caso di informazioni destinate specificamente ai minori.
Titolare del trattamento e GDPR
Il titolare del trattamento deve essere in grado di dimostrare l’efficacia di tali misure e ciò nel rispetto dell’importante principio di accountability che viene recepito dal Regolamento europeo. Per lo stesso motivo il Regolamento intende definire una responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che abbia effettuato direttamente o altri abbia effettuato per suo conto. In particolare, il titolare del trattamento deve garantire ed essere in grado didimostrare la conformità di ogni trattamento con il Regolamento.
Privacy by design
Altra importante novità connessa alla figura del titolare del trattamento è il recepimento dei principi della privacy by design per cui lo stesso titolare, tenuto conto dell’evoluzione tecnica e dei costi di attuazione, deve mettere in atto adeguate misure e procedure tecniche e organizzative in modo tale che il trattamento sia conforme al Regolamento e assicuri la tutela dei diritti dell’interessato.
In particolare, se all’interessato è lasciata facoltà di scelta relativamente al trattamento dei dati personali, il titolare del trattamento garantisce che siano trattati, di default, solo i dati personali necessari per ciascuna finalità specifica del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione non vadano oltre il minimo necessario per le finalità perseguite.
Titolare del trattamento dati e responsabile del trattamento dati
Il Titolare del trattamento dati è il responsabile finale dell’intera attività. Non sempre esso ha una competenza specifica. Esattamente come un datore di lavoro potrebbe non avere le competenze necessarie per svolgere l’attività di Responsabile del Servizio di Prevenzione e Protezione.
In virtù di questa situazione, il Regolamento consente al Titolare di designare un Responsabile del Trattamento, cui può affidare mansioni significative, incisive e di elevata professionalità, in fase di gestione dei dati personali.
Obblighi del titolare del trattamento
Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento non conforme al Regolamento.
Il Regolamento chiarisce che spetta al titolare, e non al DPO, “mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” (art. 24, paragrafo 1).
Il rispetto delle norme in materia di protezione dei dati fa parte della responsabilità d’impresa del titolare del trattamento, non del DPO.
Un responsabile del trattamento risponde per il danno cagionato dal trattamento solo se non ha adempiuto gli obblighi del Regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo esterno o contrario alle legittime istruzioni del titolare del trattamento.
Che differenza c’è tra titolare e responsabile del trattamento dati?
Il titolare del trattamento è colui che ha necessità di raccogliere e trattare dati personali (figura apicale), il responsabile del trattamento è un soggetto che opera alle sue dipendenze e che deve garantire il rispetto puntuale delle istruzioni ricevute, trattando i dati con professionalità, sicurezza e competenza.
Consulta anche i seguenti articoli
Protezione e trattamento dei dati personali: i profili professionali
Data Protection Officer: chi è, cosa fa e come diventarlo
Il profilo professionale del manager della privacy: compiti, conoscenze e requisiti
Per saperne di più consulta i volumi di EPC Editore
Aggiornati con i corsi di formazione dell’Istituto INFORMA
Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore