Nell'ambito della normativa europea in tema di protezione dei dati personali, ma anche nelle normative nazionali e nelle prassi di settore, si sono affermati una serie di figure e di ruoli.
Ruoli previsti dal Regolamento europeo
Occorre innanzitutto precisare che l'assunzione di un ruolo dipende dalla funzione svolta nel concreto dal soggetto e non da una qualificazione meramente formale.
Interessato al trattamento dei dati personali
L'Interessato è la persona fisica a cui appartengono i dati personali oggetto del trattamento. Il GDPR garantisce all'Interessato una serie di diritti, tra cui:
- diritto di accesso ai propri dati personali;
- diritto di rettifica dei dati inesatti;
- diritto alla cancellazione dei dati;
- diritto alla limitazione del trattamento;
- diritto alla portabilità dei dati;
- diritto di opposizione al trattamento;
- diritto di non essere sottoposto a profilazione.
Leggi l'approfondimento
Titolare del trattamento
Il titolare del trattamento dei dati personali è il soggetto al quale compete:
- definire le finalità e le modalità dei trattamenti che egli stesso intende operare, compreso le misure tecniche e organizzative tese a garantire la sicurezza dei trattamenti;
- conformare le sua attività alle norme nazionali e internzionali, e documentare tale conformità;
- controllare nel tempo che la conformità alle norme sia mantenuta, casomai adeguando le misure alla mutata realtà tecnologica.
Responsabile del trattamento
Il responsabile del trattamento è un soggetto terzo rispetto al titolare, e quindi esterno all'azienda, che si occupa di eleborare dati per conto del titolare e in base alle sue istruzioni, che vanno contrattualizzate, anche ai fini della documentazione della conformità. Generalmente si occupa della gestione e conservazione delle banche dati, spesso su cloud, e quindi della messa in sicurezza dei dati medesimi.
Tra le specifiche responsabilità di questa figura abbiamo:
- assistere il titolare nell’adozione delle misure di sicurezza in materia di protezione dei dati personali con riguardo alla propria area di competenza;
- assumere in autonomia le decisioni nell'ambito delle attrubuzione conferitegli e coordinarsi col titolari, e col DPO se nominato, al fine di garantire il corretto trattamento dei dati personali comunicatigli dal titolare;
- eseguire la valutazione di impatto laddove necessaria con riferimento alle proprie competenze;
- astenersi dall’adottare autonome decisioni in materia di trattamento dei dati differente da quelle previste dal contratto stipulato col titolare e in particolare astenersi dall'adottare decisioni in violazione delle norme;
- controllare periodicamente l’efficacia delle misure di sicurezza adottate e la loro conformità alle norme e alle istruzioni fornite dal titolare;
- adottare le misure idonee a consentire agli Interessati l’effettivo esercizio dei propri diritti, in particolare, agevolare senza ritardi l’accesso ai dati da parte degli stessi, semplificando, ove possibile, le modalità per il riscontro delle relative richieste;
- collaborare con il titolare, e il DPO se nominato, per l'esecuzione delle attività di verifica sull’adeguatezza e la conformità dei trattamenti posti in essere;
- mettere a disposizione del titolare le informazioni rilevanti per dimostrare il rispetto degli impegni assunti.
Autorizzato al trattamento dei dati
L'Autorizzato al trattamento dei dati personali (un tempo detto Incaricato) è la persona fisica appositamente istruita dal titolare al fine di eseguire dei compiti materiali in nome e per conto del titolare stesso. E' colui il quale esegue materialmente i trattamenti dei dati. L'Autorizzato svolge i suoi compiti nei limiti dell'area di competenza assegnatagli, e si deve attenere scrupolosamente alle istruzioni del Titolare del trattamento.
Data Protection Officer (DPO)
Il Data Protection Officer (DPO) è una figura professionale che ha il compito di coadiuvare il Titolare del trattamento nell'adempimento degli obblighi derivanti dal GDPR. Il DPO deve essere nominato obbligatoriamente in alcune casistiche, come ad esempio quando il trattamento include dati sensibili su larga scala o quando il trattamento presenta un rischio elevato per i diritti e le libertà degli Interessati.
Il DPO svolge un ruolo di consulenza e supporto al Titolare del trattamento in materia di protezione dei dati personali e funge da punto di contatto per le Autorità di controllo e per gli Interessati.
Ruoli non espressamente previsti dal Regolamento europeo
Referente del trattamento dati
Il referente è una figura simile a quello che una volta veniva individuato come "responsabile" all'interno dell'organizzazione o dell'azienda. In realtà il vero responsabile è solo un soggetto esterno, per cui più correttamente chi assume compiti specifici all'interno dell'organizzazione è un autorizzato. Se però questi assume compiti più ampi e con maggiori responsabilità (ad esempio il coordinamento degli altri autorizzati) può essere definito "referente" o anche "delegato".
La responsabilità del referente è limitata, ed opera nei confronti del solo titolare nei casi in cui egli violi le istruzioni e le modalità operative fornitegli dal titolare per le operazioni di trattamento, sarà chiamato a risponderne a livello contrattuale solamente nei confronti di tale ultimo soggetto, laddove le responsabilità normative verso i terzi rimangono in capo al titolare del trattamento.