Soggetti e ruoli della protezione dati personali

Soggetti e ruoli della protezione dati personali

Nell'ambito della normativa europea in tema di protezione dei dati personali, ma anche nelle normative nazionali e nelle prassi di settore, si sono affermati una serie di figure e di ruoli. 

 

Ruoli previsti dal Regolamento europeo

Occorre innanzitutto precisare che l'assunzione di un ruolo dipende dalla funzione svolta nel concreto dal soggetto e non da una qualificazione meramente formale. 

 

Titolare del trattamento

Il titolare del trattamento dei dati personali è il soggetto al quale compete: 
- definire le finalità e le modalità dei trattamenti che egli stesso intende operare, compreso le misure tecniche e organizzative tese a garantire la sicurezza dei trattamenti; 
- conformare le sua attività alle norme nazionali e internzionali, e documentare tale conformità; 
- controllare nel tempo che la conformità alle norme sia mantenuta, casomai adeguando le misure alla mutata realtà tecnologica. 

Leggi l'approfondimento

 

Responsabile del trattamento

Il responsabile del trattamento è un soggetto terzo rispetto al titolare, e quindi esterno all'azienda, che si occupa di eleborare dati per conto del titolare e in base alle sue istruzioni, che vanno contrattualizzate, anche ai fini della documentazione della conformità. Generalmente si occupa della gestione e conservazione delle banche dati, spesso su cloud, e quindi della messa in sicurezza dei dati medesimi. 

Tra le specifiche responsabilità di questa figura abbiamo: 
- assistere il titolare nell’adozione delle misure di sicurezza in materia di protezione dei dati personali con riguardo alla propria area di competenza;
- assumere in autonomia le decisioni nell'ambito delle attrubuzione conferitegli e coordinarsi col titolari, e col DPO se nominato, al fine di garantire il corretto trattamento dei dati personali comunicatigli dal titolare;
- eseguire la valutazione di impatto laddove necessaria con riferimento alle proprie competenze;
- astenersi dall’adottare autonome decisioni in materia di trattamento dei dati differente da quelle previste dal contratto stipulato col titolare e in particolare astenersi dall'adottare decisioni in violazione delle norme;
- controllare periodicamente l’efficacia delle misure di sicurezza adottate e la loro conformità alle norme e alle istruzioni fornite dal titolare;
- adottare le misure idonee a consentire agli Interessati l’effettivo esercizio dei propri diritti, in particolare, agevolare senza ritardi l’accesso ai dati da parte degli stessi, semplificando, ove possibile, le modalità per il riscontro delle relative richieste; 
- collaborare con il titolare, e il DPO se nominato, per l'esecuzione delle attività di verifica sull’adeguatezza e la conformità dei trattamenti posti in essere;
- mettere a disposizione del titolare le informazioni rilevanti per dimostrare il rispetto degli impegni assunti. 

Leggi l'approfondimento

  

Autorizzato al trattamento dei dati 

L'autorizzato al trattamento dei dati personali è la persona fisica appositamente istruita dal titolare al fine di eseguire dei compiti materiale in nome e per conto del titolare stesso. E' colui il quale esegue materialmente i trattamenti dei dati. 

Leggi l'approfondimento

 

Ruoli non espressamente previsti dal Regolamento europeo

Referente del trattamento dati

Il referente è una figura simile a quello che una volta veniva individuato come "responsabile" all'interno dell'organizzazione o dell'azienda. In realtà il vero responsabile è solo un soggetto esterno, per cui più correttamente chi assume compiti specifici all'interno dell'organizzazione è un autorizzato. Se però questi  assume compiti più ampi e con maggiori responsabilità (ad esempio il coordinamento degli altri autorizzati) può essere definito "referente" o anche "delegato".

La responsabilità del referente è limitata, ed opera nei confronti del solo titolare nei casi in cui egli violi le istruzioni e le modalità operative fornitegli dal titolare per le operazioni di trattamento, sarà chiamato a risponderne a livello contrattuale solamente nei confronti di tale ultimo soggetto, laddove le responsabilità normative verso i terzi rimangono in capo al titolare del trattamento.