Titolare del trattamento, Responsabile del trattamento, Responsabile della protezione dei dati, in questa moltitudine di definizioni cercheremo di fare un po’ di chiarezza su una delle figure più “confuse” previste dal Regolamento UE 2016/679 – GDPR.

Il primo passo è quello di individuare e comprendere la definizione e i ruoli del titolare del trattamento e del responsabile del trattamento.

Chi è il Titolare del trattamento ai fini Privacy – GDPR?

Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Concretamente, in un contesto aziendale, il titolare del trattamento è il soggetto apicale che – nei limiti imposti dalla normativa di tutela e protezione dei dati personali – decide le attività di trattamento che verranno svolte.

Si ricorda che un trattamento di dati personali consiste in qualsiasi operazione o insieme di operazioni applicate a dati personali o insieme di dati personali.

Quindi il titolare del trattamento di fatto è colui che individua gli scopi che giustificano il trattamento dei dati personali e le modalità per il trattamento di tali dati nello svolgimento dell’attività lavorativa.

Ovviamente queste scelte costituiscono una conseguenza dell’attività professionale svolta dall’azienda e derivano da un’attenta analisi delle fasi lavorative, non dipendono dalla volontà del titolare del trattamento in senso assoluto.

Titolare del trattamento dati: esempi concreti

  • Il titolare del trattamento potrà autorizzare il trattamento dei dati personali dei dipendenti, senza il loro consenso, esclusivamente per la gestione del contratto di lavoro. Non potrà utilizzare i dati dei dipendenti per altre finalità (ad esempio non potrà utilizzarli per monitorarne il comportamento sui social network).
  • Il titolare del trattamento potrà autorizzare il trattamento dei dati personali dei fornitori, senza il loro consenso, esclusivamente per la gestione del contratto di fornitura, per l’elaborazione di eventuali ordini e per la contabilizzazione degli stessi.
  • Il titolare del trattamento potrà autorizzare il trattamento dei dati personali dei clienti, senza il loro consenso, esclusivamente per l’erogazione e la contabilizzazione del servizio richiesto. Non potrà utilizzare i dati dei clienti per altre finalità (ad esempio cedere i dati dei clienti a terzi o utilizzarli per campagne di telemarketing non autorizzato).
DPO responsabile protezione dati gdpr
protezione dati personali secondo il GDPR

Chi è il Responsabile del trattamento ai fini Privacy – GDPR?

Analizziamo ora la figura del responsabile del trattamento.

Questo soggetto è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta i dati per conto del titolare del trattamento.

Il titolare del trattamento decide di “delegare” un soggetto per lo svolgimento di specifiche attività di trattamento.

Questi soggetti devono essere designati mediante un contratto o altro atto giuridico e devono presentare garanzie sufficienti per mettere in atto ogni misura tecnica e organizzativa adeguata alla tutela dei dati personali e dei diritti degli interessati.

Quindi, il criterio economico non può costituire l’unica motivazione che determina la scelta di un responsabile.

Responsabile del trattamento dati: esempi concreti

  • Il consulente del lavoro esterno costituisce un responsabile del trattamento. Infatti, il titolare del trattamento gli cede i dati personali dei dipendenti per lo svolgimento delle attività connesse alla gestione del contratto di lavoro e l’elaborazione delle buste paga dei dipendenti.
  • Il consulente in materia di sicurezza sul lavoro costituisce un responsabile del trattamento. Infatti, il titolare del trattamento gli cede i dati personali dei dipendenti per lo svolgimento delle attività connesse alla gestione della sicurezza aziendale, ad esempio per l’erogazione della formazione dei lavoratori.

La figura del Responsabile della Protezione Dati DPO

Fatta questa premessa, veniamo ora alla figura del Responsabile della protezione dei dati, dall’inglese Data Protection Officer, abbreviato dagli acronimi RDP o DPO (in questo articolo utilizzeremo l’abbreviazione DPO).

Il DPO è una figura prevista dall’art. 37 del Regolamento UE 2016/679 – GDPR. È un soggetto che può essere designato dal titolare o dal responsabile del trattamento per compiere attività di supporto e controllo, attività consultive, formative e informative in merito all’applicazione del Regolamento UE 2016/679 – GDPR e alla protezione de i dati personali.

Il DPO può essere un soggetto esterno o un soggetto interno alla realtà aziendale.

Il DPO agisce in piena indipendenza ed autonomia, senza ricevere istruzioni e riferendo ai vertici; deve inoltre poter disporre delle risorse necessarie (finanziarie, strumentali e organizzative) per espletare i compiti previsti dal proprio ruolo.

Il DPO può anche essere un dipendente del titolare o del responsabile del trattamento, ma deve essere evitato in ogni modo il conflitto di interessi; in alternativa l’incarico può essere affidato a un soggetto esterno.

In ogni caso deve essere previsto uno specifico atto di designazione (per il DPO interno) o un contratto di servizi (per il DPO esterno) che indichino chiaramente i compiti attribuiti, le risorse assegnate e ogni altra informazione utile in merito all’ambito di riferimento.

Esiste un albo o un elenco di DPO?

Il DPO non deve obbligatoriamente possedere particolati attestati o essere iscritto ad appositi albi o associazioni ma deve assolutamente possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, protezione dei dati personali e nelle norme e procedure amministrative in materia.

Il titolare o il responsabile del trattamento che designano un DPO sono comunque responsabili dell’osservanza della normativa in materia di protezione dei dati personali, nominare un soggetto non qualificato può rappresentare una spesa inutile che non tutela la realtà aziendale.

Il titolare e il responsabile del trattamento devo pubblicare i dati di contatto del DPO, ad esempio inserendoli nelle informative da mettere a disposizione degli interessati.

Il titolare e il responsabile del trattamento devono invece comunicare il nominativo e i dati di contatto del DPO all’Autorità di controllo.

DPO privacy GDPR

I compiti del Responsabile della protezione dei dati – DPO

Nello specifico, il DPO ha i seguenti compiti:

  • informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento UE 2016/679 – GDPR nonché da altre disposizioni dell’Unione o degli Stati Membri relative alla protezione dei dati;
  • sorvegliare l’osservanza del Regolamento UE 2016/679 – GDPR, di altre disposizioni dell’Unione o degli Stati Membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’art. 35 del Regolamento UE 2016/679 – GDPR;
  • cooperare con l’attività di controllo; e
  • fungere da punto di contatto per l’Autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’art. 36 del Regolamento UE 2016/679 – GDPR, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Riassumendo il tutto, si può affermare che il DPO, oltre a collaborare con l’Autorità di controllo, non è propriamente il soggetto che offre consulenza per l’adeguamento al Regolamento UE 2016/679 – GDPR, ma il soggetto che “controlla” lo stato di tale adeguamento, evidenziando eventuali criticità o misure di miglioramento da attuare.

Il DPO può fornire dei pareri in merito alla gestione e alla protezione dei dati personali ma è soprattutto una figura di garanzia che rileva, in modo totalmente libero e privo di conflitti di interesse, i punti deboli nella gestione dei dati personali in un contesto aziendale.

Quando si deve nominare il Responsabile della Protezione Dati DPO?

Non tutte le realtà sono vincolate alla nomina del DPO. Il Regolamento UE 2016/679 – GDPR individua i casi in cui il titolare e il responsabile del trattamento sono obbligati a nominare un DPO, ovvero quando:

  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolati di dati di cui all’articolo 9 del Regolamento UE 2016/679 – GDPR (dati relativi alla salute, ecc.) o di dati relativi a condanne penali e a reati di cui all’art. 10 del Regolamento UE 2016/679 – GDPR.

La non appartenenza ai casi sopra citati esonera il titolare e il responsabile del trattamento dall’obbligo di nomina del DPO ma non ne impedisce la designazione, anzi in un’ottica di “accountability” (responsabilizzazione), la presenza del DPO fornisce una garanzia di maggior tutela in materia di protezione dei dati personali.

 
Informati Ora per il Corso su Privacy & GDPR