La figura del Titolare del trattamento e del Responsabile del trattamento hanno una relazione ben definita, sia dal GDPR che tramite moltissime precisazioni date dall’Autorità Garante della Privacy nel tempo.
Vediamo in primis quelle che sono le definizioni di queste figure nel GDPR.
Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.
Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Designazione
I Titolari del trattamento prima di designare un Responsabile del trattamento, deve valutarne le competenze che gli consentano di mettere in atto misure organizzative adeguate per la tutela dei diritti degli interessati. La sua designazione, da parte del Titolare deve avvenire tramite un atto (contratto) in cui gli attribuisce compiti specifici quali: la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento.
Il Responsabile del trattamento può ricorrere ad un altro Responsabile, dando vita ad una sub nomina, per l’esecuzione di specifiche attività per conto del Titolare del trattamento.
A questo sub-responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico, gli stessi obblighi in materia di protezione dei dati contenuti nel stipulato tra il titolare del trattamento e il responsabile del trattamento.
Nel momento in cui il sub-responsabile del trattamento venga meno all’adempimento dei propri obblighi in materia di protezione dei dati, il Responsabile conserva nei confronti del Titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.
In sintesi (esempi pratici)
Detta la teoria ora riassumiamo e andiamo al pratico con esempi semplici. Il Titolare è la persona, azienda ecc.. che possiede i dati ed il consenso all’utilizzo come per esempio l’azienda proprietaria del sito internet che tramite form acquisisce dati personali per vendere un servizio o un prodotto.
Spesso i dati raccolti li da in consegna a terzi, persone, aziende ecc.. come ad esempio:
- al commercialista esterno per la gestione contabile
- al callcenter per attività di assistenza
- all’azienda di fornitura hosting per la memorizzazione su database
- ecc.. ecc.. ecc..
Tutte le aziende, persone, ecc.. esterne dovranno essere nominate Responsabili del trattamento con regole e specifiche diverse sul trattamento stesso.