L’art.4 del GDPR reca le definizioni generali.

I soggetti destinatari della disciplina sono:

• Il Titolare
• Il Responsabile
• Il responsabile della protezione dei dati (Data Protection Officer” DPO)
• L’interessato

IL TITOLARE

Secondo l’art. 4 n.7 del GDPR “«titolare del trattamento» è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”. Anche con riferimento alle persone giuridiche, Titolare è a tutti gli effetti l’ente in quanto tale, e non già la persona fisica che ricopre una carica rappresentativa (amministratore, presidente etc). Il Titolare risponde, sotto ogni punto di vista, di eventuali trattamenti illeciti perpetrati al proprio interno, laddove non abbia adempiuto ai propri obblighi. Egli può decidere di nominare un Responsabile che, per suo conto, si occupi degli adempimenti in materia di privacy.  Il responsabile del trattamento deve fornire garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento

Il Titolare, come si evince dal GDPR:

– Deve predisporre l’analisi dei rischi e, in alcuni casi, realizzare una valutazione d’impatto sulla protezione dei dati (PIA), nell’ambito di un più generale Risk Assessment seguita da una possibile “Consultazione preventiva” all’Autorità Garante se le misure di sicurezza adottate non consentano di escludere o limitare i rischi per i diritti e le libertà degli interessati al trattamento;

-Unitamente al Responsabile che abbia, eventualmente, deciso di nominare, il Titolare deve essere in grado di dimostrare di aver adottato un processo complessivo di misure giuridiche, organizzative, tecniche per la protezione dei dati personali. In tale prospettiva, è necessario anche verificare (ex post) che le misure adottate siano state efficaci (e, quindi, abbiano funzionato) al fine di prevenire trattamenti illeciti sui dati o eventuali danni in capo agli interessati al trattamento (vi è quindi la necessità di implementare procedure di verifica periodica delle misure adottate di cui si tenga traccia per iscritto);

– In applicazione dei principi della privacy by design, la tutela della privacy deve essere concretamente incorporata nella progettazione e nell’architettura dei sistemi IT. In base al principio di privacy by default è necessario garantire preventivamente che non siano resi accessibili dati personali a un numero indefinito di persone, implementando, ad esempio, opportune procedure di autorizzazione e autenticazione. E’ necessario stabilire precisi limiti temporali nella conservazione delle varie tipologie e categorie di dati mediante l’adozione di una specifica “Data retention policy”;

– Il Titolare in alcuni casi è obbligato a nominare il Responsabile della Protezione dei dati personali (ovvero il c.d. “Data Protection Officer”DPO); tale nomina è consigliata anche nei casi in cui il legislatore non la rende obbligatoria;

– Il Titolare deve curare la revisione e l’aggiornamento delle nomine – interne ed esterne – per i “Responsabili del trattamento” e prevedere delle sub-deleghe a terzi (sub-responsabili) per alcune attività che prevedono un trattamento di dati personali in regime di sub-appalto o sub-fornitura di servizi;

– Il Titolare deve curare la revisione e integrazione di tutti i contratti inserendo clausole privacy “reali” e non più di stile e, in alcuni casi, utilizzando veri e propri “Privacy Level Agreement”;

– Il Titolare, in caso di società controllate o collegate, deve gestire i rapporti infra gruppo e creare  regole privacy condivise;

– Il Titolare deve curare i nuovi adempimenti per l’eventuale trasferimento di dati personali verso un Paese terzo;

– Il Titolare deve predisporre una periodica attività obbligatoria di Audit (interna e/o mediante l’ausilio di soggetti esterni), da svolgersi in coordinamento con il Responsabile della Protezione dei dati;

– Il Titolare deve sensibilizzare e predisporre piani di formazione periodica del personale che partecipa ai trattamenti (dipendenti, collaboratori, etc.), ad opera di funzioni aziendali interne, consulenti esterni o mediante un Responsabile della protezione dei dati.

– Il Titolare deve provvedere alla revisione del Regolamento aziendale interno sul corretto utilizzo degli strumenti elettronici, posta elettronica e internet e al rafforzamento degli obblighi di informativa nei confronti dei dipendenti;

– Il Titolare deve provvedere all’adozione di un Registro delle attività di trattamento (molto simile al vecchio “Documento Programmatico sulla sicurezza”), che è indispensabile per dimostrare la conformità di tutti i trattamenti a quanto previsto nella nuova regolamentazione europea e assicurare un sano ciclo di gestione dei dati personali;

– Il Titolare deve adottare una specifica procedura per regolamentare eventuali episodi di violazione di dati personali (c.d. “data breach”), mediante comunicazioni all’Autorità Garante o agli interessati al trattamento;

– Il Titolare deve predisporre meccanismi/procedure per assicurare la verifica dell’efficacia delle misure adottate e può aderire a Codici di Condotta e accedere a percorsi di Certificazione per dimostrare la conformità al GDPR;

 

IL RESPONSABILE

Secondo l’art. 4 n.8 del GDPR per Responsabile si intende “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

I trattamenti da parte di un Responsabile del trattamento, eventualmente nominato dal Titolare, sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri. L’art. 28 del GDPR definisce nel dettaglio il contenuto del contratto o dell’atto giuridico di nomina del Responsabile.

In base all’art. 2-quaterdecies del d.lgs. n.101 del 2018   il Titolare o il Responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. In tal caso il Titolare o il Responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali, le persone che operano sotto la loro autorità diretta.

 

IL RESPONSABILE DELLA PROTEZIONE DEI DATI (Data Protection Officer” DPO)

Secondo l’art.37 del GDPR il Titolare del trattamento e il Responsabile del trattamento designano sistematicamente un Responsabile della protezione dei dati ogniqualvolta:

1. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
2. le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

oppure

3. le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (dati sensibili) o di dati relativi a condanne penali e a reati (dati giudiziari).

Il Responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti previsti dalla normativa. Egli può essere un dipendente del Titolare del trattamento o del Responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.

Il Responsabile della protezione dei dati deve:

1. informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
2. sorvegliare l’osservanza del GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
4. cooperare con l’autorità di controllo;
5. fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento.

Attualmente non esistono titoli abilitanti o attestati formali che determinano l’idoneità di un Responsabile della Protezione dei Dati. Tuttavia, eventuali certificazioni delle competenze professionali costituiscono un valido strumento ai fini della verifica del possesso di un certo livello di conoscenza della disciplina.  La normativa UNI 11697:2017 che definisce i principali profili professionali in ambito privacy, ha ulteriormente dettagliato la figura del DPO e ha stabilito che il requisito minimo per poter ottenere la certificazione DPO, è costituito dalla frequentazione di un corso di formazione specifica privacy della durata di 80 ore presso enti terzi rispetto ai certificatori. La certificazione basata sulla Norma tecnica UNI 11697, come, del resto qualsiasi altra certificazione rilasciata da enti indipendenti di terza parte, non sono titoli obbligatori per svolgere il ruolo di DPO.

 

L’INTERESSATO

L’Interessato è la persona fisica identificata o identificabile cui si riferiscono i dati personali.

Il Capo III del GDPR definisce i diritti dell’interessato che riguardano l’informazione, l’accesso, la rettifica e la cancellazione dei dati  nonché la limitazione del loro trattamento, la portabilità e l’opposizione al trattamento.

Il d.lgs. n.101 del 2018 in attuazione del GDPR prevede all’art. 2-terdecies una disciplina specifica per il trattamento dei dati personali concernenti persone decedute. I relativi diritti possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione. Sono previsti, altresì alcuni limiti al trattamento.