GDPR: Titolare, Responsabile, Addetto
Il Titolare del trattamento è l’azienda o l’ente a cui fa capo un intero processo di trattamento dei dati personali. È il titolare che da un lato comunica con l’interessato, cioè con l’individuo a cui si riferiscono i dati per garantire i suoi diritti, e dall’altro si interfaccia con l’Autorità Garante quando necessario. Tra le altre cose, il titolare del trattamento deve tenere un registro dei trattamenti e nominare un DPO quando previsto.
All’articolo 26 il GDPR introduce anche la co-titolarità del trattamento dei dati imponendo comunque ai diversi titolari di definire il rispettivo ambito di responsabilità e i compiti.
Il Responsabile del trattamento è l’organizzazione esterna al titolare designata per operare materialmente con i dati personali secondo le finalità comunicate all’interessato. Anche il responsabile del trattamento dovrà redigere il registro dei trattamenti e nominare se necessario un Data Protection Officer. Il Regolamento Europeo 16/679 consente anche la nomina di sub-responsabili (articolo 28) e introduce cambiamenti importanti su questa figura.
L’Addetto al trattamento – anche detto incaricato – è un’ulteriore figura già introdotta dalla 196, la legge italiana recentemente armonizzata con quella europea, i cui compiti sono solamente relativi alle operazioni di gestione quotidiana dei dati.
Il General Data Protection Regulation non prevede espressamente questa figura ma non la esclude facendo riferimento a “persone autorizzate al trattamento sotto l’autorità diretta del titolare o del responsabile”. Chiunque all’interno o all’esterno dell’organizzazione svolga questa attività dovrà essere sempre adeguatamente informato e quindi formato su come trattare i dati operativamente.
Grazie al metodico lavoro dello Staff di PrivacyLab siamo in grado di mettere a disposizione di tutti:
– un confronto sinottico tra la vecchia e la nuova 196.
– il nuovo testo completo (DL 196 integrato dal DL 101)