GDPR | Quali figure principali ha introdotto il Regolamento Privacy

PRINCIPALI FIGURE E SOGGETTI COINVOLTI

TITOLARE (CONTITOLARE) DEL TRATTAMENTO

Il titolare del trattamento è la persona fisica o giuridica (ad esempio una società) che tratta i dati personali degli interessati. Nella vita quotidiana il titolare del trattamento potrebbe essere ad esempio:

Il datore di lavoro che tratta, nella sua azienda, i dati personali dei dipendenti
Il professionista che tratta i dati personali dei suoi clienti
L’associazione che tratta i dati personali degli iscritti
Il commerciante che tratta i dati personali dei suoi fornitori
L’ospedale che tratta i dati personali dei propri pazienti
La scuola che tratta i dati personali dei suoi alunni
La palestra che tratta i dati personali dei propri iscritti
Il Comune che tratta i dati personali nell’ufficio anagrafe

Il titolare del trattamento è chi, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;

Questa figura è responsabile di far rispettare i principi stabiliti dal GDPR.

In particolare, deve assicurarsi che vengano rispettati:

Correttezza e trasparenza del trattamento dei dati
Rispetto delle finalità
Esattezza
Riservatezza durante il trattamento

Il titolare del trattamento, nella propria organizzazione, ha degli obblighi da rispettare per assicurare la conformità del proprio comportamento al GDPR tra i quali troviamo:

Lo sviluppo del registro dei trattamenti
La valutazione dei rischi privacy
L’eventuale valutazione di impatto
La consultazione preventiva con il Garante
L’implementazione delle misure tecniche ed organizzative
La nomina dei responsabili esterni
L’individuazione degli autorizzati al trattamento di dati personali
L’eventuale nomina del DPO (Responsabile della protezione dei dati)
L’emissione delle informative
La raccolta del consenso, ove necessario
L’implementazione della procedura di data breach
La formazione degli autorizzati al trattamento
La nomina dell’amministratore di sistema, ove necessario
La redazione del capitolato della video sorveglianza (ove presente)
La gestione del riscontro verso le istanze degli interessati
La gestione della contitolarità

Scopri tutti i dettagli del kit Privacy

RESPONSABILE DEL TRATTAMENTO

La figura del responsabile del trattamento, dalla data di pubblicazione del GDPR, è quella che ha suscitato maggiori incertezze a riguardo della sua posizione nei confronti del titolare del trattamento.

Molte persone infatti sono tentate di pensare che tale figura sia riconosciuta all’interno dell’organizzazione così come qualunque altro ruolo come, ad esempio: responsabile commerciale, responsabile amministrazione, responsabile produzione ecc. e quindi responsabile del trattamento.

Le cose invece stanno molto diversamente in quanto il responsabile del trattamento non è affatto una figura interna all’organizzazione ma è una persona fisica o giuridica che tratta i dati personali degli interessati per conto del titolare all’esterno dell’organizzazione. Facciamo un esempio:

Se in qualità di datore di lavoro tratto i dati personali dei miei dipendenti e trasferisco tali dati personali al consulente del lavoro affinché produca le buste paga allora il consulente del lavoro è il responsabile esterno che tratta i dati personali degli interessati per conto del titolare.

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento è il responsabile del trattamento.

Il titolare del trattamento deve essere in grado di garantire che i trattamenti affidati ai responsabili siano effettuati in conformità al GDPR e deve indicare al responsabile quali sono le misure tecniche e organizzative da mettere in campo per la protezione dei dati.

Il titolare del trattamento inoltre deve designare i responsabili esterni assicurandosi che abbiano la conoscenza necessaria e le risorse necessarie e sufficienti a garantire la sicurezza dei dati.

Le operazioni di trattamento trasferite al responsabile possono essere effettuate solo da autorizzati che operano sotto la diretta autorità di questi attenendosi alle istruzioni loro impartite per iscritto.

Il responsabile risponde dinanzi al titolare ai fini del risarcimento di eventuali danni causati dall’impropria gestione, salvo che riesca dimostrare che l’evento dannoso non gli è in alcun modo imputabile e che ha rispettato tutte le norme prestabilite.

DPO – DATA PROTECTION OFFICER

Responsabile della protezione dei dati.

E’ una figura assolutamente nuova concepita dal GDPR. Il DPO, acronimo di Data Protection Officer, sta per Responsabile per la protezione dei dati. E’ una figura specializzata nella protezione dei dati personali attraverso l’applicazione delle misure tecniche ed organizzative. E’ nominata solamente in presenza di alcune circostanze quali ad esempio il trattamento su larga scala di dati particolari ex “dati sensibili”.

E’, di solito, un consulente esperto ma può essere anche interno all’organizzazione.

Per il GDPR la scelta per un DPO interno o Esterno non è rilevante. La decisione riguarda opportunità imprenditoriali che riguardano i costi della consulenza e i costi del lavoro dipendente.

L’obbligatorietà della nomina del DPO dipende dall’attività svolta dal titolare del trattamento e più in particolare riguarda il trattamento di dati personali su larga scala che possono essere caratterizzati dalla presenza o meno di attività di monitoraggio e dal trattamento di dati “particolari” precedentemente denominati “sensibili”

AMMINISTRATORE DI SISTEMA

Nell’ambito della digitalizzazione dei processi aziendali, i dati personali vengono trattati dalle reti informatiche. Quando in un’organizzazione è presente una rete costituita da un server e più client deve essere nominato l’amministratore di sistema.

La nomina dell’amministratore di sistema non è prevista dal GDPR ma dal Provvedimento del Garante della Privacy del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”

Di solito si tratta del responsabile IT dell’organizzazione impegnato a gestire gli accessi ai database e le operazioni che vengono effettuate sui dati personali. Tale figura non poteva essere trascurata dal garante che l’ha istituita attraverso il provvedimento appunto dell’amministratore di sistema.

L’amministratore vigila sulle operazioni di tutti coloro che utilizzano la rete ma avendo un ruolo delicatissimo in quanto è a contatto con tutti i dati personali segregati in rete è sempre sotto il controllo dei titolare del trattamento che provvede, almeno annualmente,a redigere una relazione sul suo operato.

Le operazioni compiute dall’amministratore di sistema in rete sono tracciate in quanto il titolare del trattamento è tenuto ad installare un file di log management che controlla le operazioni.

La nomina dell’amministratore di sistema, così come accade per quella del responsabile esterno e del DPO deve essere formalizzata specificando il ruolo e le responsabilità.

Scopri tutti i dettagli del kit Privacy

AUTORIZZATO AL TRATTAMENTO

L’autorizzato al trattamento, con il GDPR, prende il porto dell’incaricato. Si tratta della persona fisica che, all’interno dell’Organizzazione, opera trattando i dati personali degli interessati. Si immagini ad esempio chi lavora nell’ufficio del personale di un’azienda e tratta i dati dei lavoratori oppure il responsabile marketing che tratta i dati personali dei clienti oppure il responsabile della produzione che tratta i dati personali dei fornitori.

Tutte le persone che operano sui dati personali in azienda devono essere individuate e “autorizzate” al trattamento attraverso la nomina che stabilisce le modalità consentite con le relative responsabilità.

L’autorizzato non può operare sui dati personali se non è stato formato dal titolare del trattamento in merito alle operazioni da compiere e alle modalità con cui trattare i dati applicando i principi fondamentali della privacy.

AUTORITÀ DI CONTROLLO

L’autorità di controllo nazionale italiana, un’autorità amministrativa indipendente, è Il Garante per la Protezione dei dati personali. La sua sede è a Piazza di Monte Citorio, n. 121 in Roma.

COMITATO EUROPEO PER LA PROTEZIONE DEI DATI

È istituito quale organismo dell’Unione ed è dotato di personalità giuridica (Art. 68 Regolamento generale sulla protezione dei dati) è chiamato a controllare che le autorità nazionali applichino correttamente la nuova regolamentazione europea.

COMMISSIONE

Si occupa di

Meccanismi di certificazione
Redazione delle clausole contrattuali standard
Adozione dei codici di condotta
Decisioni di adeguatezza
Procedure per le Binding Corporate Rules (trasferimento di dati personali dal territorio dello Stato verso Paesi terzi (extra-UE) tra società facenti parti dello stesso gruppo d’impresa)
Icone standard per la semplificazione delle informative

RAPPRESENTANTE

La persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’Articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento.

Scarica l'elenco generale dei contenuti

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

PRINCIPALI FIGURE E SOGGETTI COINVOLTI

TITOLARE (CONTITOLARE) DEL TRATTAMENTO

Il titolare del trattamento è la persona fisica o giuridica (ad esempio una società) che tratta i dati personali degli interessati. Nella vita quotidiana il titolare del trattamento potrebbe essere ad esempio:

Il datore di lavoro che tratta, nella sua azienda, i dati personali dei dipendenti

Il professionista che tratta i dati personali dei suoi clienti

L’associazione che tratta i dati personali degli iscritti

Il commerciante che tratta i dati personali dei suoi fornitori

L’ospedale che tratta i dati personali dei propri pazienti

La scuola che tratta i dati personali dei suoi alunni

La palestra che tratta i dati personali dei propri iscritti

Il Comune che tratta i dati personali nell’ufficio anagrafe

Il titolare del trattamento è chi, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;

Questa figura è responsabile di far rispettare i principi stabiliti dal GDPR.

In particolare, deve assicurarsi che vengano rispettati:

Correttezza e trasparenza del trattamento dei dati

Rispetto delle finalità

Esattezza

Riservatezza durante il trattamento

Il titolare del trattamento, nella propria organizzazione, ha degli obblighi da rispettare per assicurare la conformità del proprio comportamento al GDPR tra i quali troviamo:

Lo sviluppo del registro dei trattamenti

La valutazione dei rischi privacy

L’eventuale valutazione di impatto

La consultazione preventiva con il Garante

L’implementazione delle misure tecniche ed organizzative

La nomina dei responsabili esterni

L’individuazione degli autorizzati al trattamento di dati personali

L’eventuale nomina del DPO (Responsabile della protezione dei dati)

L’emissione delle informative

La raccolta del consenso, ove necessario

L’implementazione della procedura di data breach

La formazione degli autorizzati al trattamento

La nomina dell’amministratore di sistema, ove necessario

La redazione del capitolato della video sorveglianza (ove presente)

La gestione del riscontro verso le istanze degli interessati

La gestione della contitolarità

RESPONSABILE DEL TRATTAMENTO

La figura del responsabile del trattamento, dalla data di pubblicazione del GDPR, è quella che ha suscitato maggiori incertezze a riguardo della sua posizione nei confronti del titolare del trattamento.

Molte persone infatti sono tentate di pensare che tale figura sia riconosciuta all’interno dell’organizzazione così come qualunque altro ruolo come, ad esempio: responsabile commerciale, responsabile amministrazione, responsabile produzione ecc. e quindi responsabile del trattamento.

Se in qualità di datore di lavoro tratto i dati personali dei miei dipendenti e trasferisco tali dati personali al consulente del lavoro affinché produca le buste paga allora il consulente del lavoro è il responsabile esterno che tratta i dati personali degli interessati per conto del titolare.

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento è il responsabile del trattamento.

Il titolare del trattamento deve essere in grado di garantire che i trattamenti affidati ai responsabili siano effettuati in conformità al GDPR e deve indicare al responsabile quali sono le misure tecniche e organizzative da mettere in campo per la protezione dei dati.

Il titolare del trattamento inoltre deve designare i responsabili esterni assicurandosi che abbiano la conoscenza necessaria e le risorse necessarie e sufficienti a garantire la sicurezza dei dati.

Le operazioni di trattamento trasferite al responsabile possono essere effettuate solo da autorizzati che operano sotto la diretta autorità di questi attenendosi alle istruzioni loro impartite per iscritto.

Il responsabile risponde dinanzi al titolare ai fini del risarcimento di eventuali danni causati dall’impropria gestione, salvo che riesca dimostrare che l’evento dannoso non gli è in alcun modo imputabile e che ha rispettato tutte le norme prestabilite.

DPO – DATA PROTECTION OFFICER

Responsabile della protezione dei dati.

E’, di solito, un consulente esperto ma può essere anche interno all’organizzazione.

Per il GDPR la scelta per un DPO interno o Esterno non è rilevante. La decisione riguarda opportunità imprenditoriali che riguardano i costi della consulenza e i costi del lavoro dipendente.

AMMINISTRATORE DI SISTEMA

Nell’ambito della digitalizzazione dei processi aziendali, i dati personali vengono trattati dalle reti informatiche. Quando in un’organizzazione è presente una rete costituita da un server e più client deve essere nominato l’amministratore di sistema.

Le operazioni compiute dall’amministratore di sistema in rete sono tracciate in quanto il titolare del trattamento è tenuto ad installare un file di log management che controlla le operazioni.

La nomina dell’amministratore di sistema, così come accade per quella del responsabile esterno e del DPO deve essere formalizzata specificando il ruolo e le responsabilità.

AUTORIZZATO AL TRATTAMENTO

Tutte le persone che operano sui dati personali in azienda devono essere individuate e “autorizzate” al trattamento attraverso la nomina che stabilisce le modalità consentite con le relative responsabilità.

L’autorizzato non può operare sui dati personali se non è stato formato dal titolare del trattamento in merito alle operazioni da compiere e alle modalità con cui trattare i dati applicando i principi fondamentali della privacy.

AUTORITÀ DI CONTROLLO

L’autorità di controllo nazionale italiana, un’autorità amministrativa indipendente, è Il Garante per la Protezione dei dati personali. La sua sede è a Piazza di Monte Citorio, n. 121 in Roma.

COMITATO EUROPEO PER LA PROTEZIONE DEI DATI

È istituito quale organismo dell’Unione ed è dotato di personalità giuridica (Art. 68 Regolamento generale sulla protezione dei dati) è chiamato a controllare che le autorità nazionali applichino correttamente la nuova regolamentazione europea.

COMMISSIONE

Si occupa di

Meccanismi di certificazione

Redazione delle clausole contrattuali standard

Adozione dei codici di condotta

Decisioni di adeguatezza

Procedure per le Binding Corporate Rules (trasferimento di dati personali dal territorio dello Stato verso Paesi terzi (extra-UE) tra società facenti parti dello stesso gruppo d’impresa)

Icone standard per la semplificazione delle informative

RAPPRESENTANTE

La persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’Articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento.

Questo sito utilizza i cookies