La cornice normativa delineata dal GDPR individua diversi soggetti coinvolti nella protezione dei dati personali, ciascuno con compiti e responsabilità ben definiti. Comprendere il ruolo di ognuno è fondamentale per garantire un’efficace governance della privacy e assicurare la piena conformità ai principi sanciti dal Regolamento.
Articolo tratto dal volume di EPC Editore “Quaderno operativo di CYBERSECURITY e PRIVACY”
di Alverone Giuseppe, Perego Monica
Nell'articolo
GDPR: l’importanza dei soggetti coinvolti
La corretta comprensione dei ruoli e delle responsabilità dei soggetti coinvolti nella protezione dei dati è la chiave per costruire un sistema di gestione della privacy solido e in linea con le prescrizioni del GDPR. Gli interessati rappresentano il fulcro del Regolamento, mentre il titolare – supportato dai propri collaboratori (autorizzati), dai responsabili del trattamento e dal DPO – è tenuto ad assicurare che l’intero ciclo di vita dei dati personali si svolga nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione, integrità, riservatezza e accountability.
L’organizzazione pubblica o privata che gestisce in modo consapevole i rapporti tra questi soggetti può infatti garantire il massimo livello di protezione dei dati e, di conseguenza, rafforzare la fiducia di utenti, clienti e cittadini.
Gli interessati (Data Subjects)
Gli interessati, o Data Subjects, sono le persone fisiche a cui i dati personali che vengono trattati si riferiscono. Essi costituiscono la “fonte” dei dati e il baricentro dell’intero sistema di protezione. Tutto il GDPR ruota infatti intorno alla tutela dei loro diritti e delle loro libertà fondamentali.
Nel momento in cui un’organizzazione raccoglie, utilizza, conserva o comunica i dati personali di un interessato, deve assicurarsi che tali operazioni siano conformi alle disposizioni del Regolamento e tutelino pienamente le ragionevoli aspettative degli individui in materia protezione delle informazioni.
Il titolare del trattamento (Data Controller)
Il titolare del trattamento, o Data Controller, è il soggetto (persona fisica, ente pubblico o privato, impresa o libero professionista) che determina le finalità e i mezzi del trattamento dei dati personali. In altre parole, è colui che decide perché e come i dati debbano essere trattati. Proprio per questo, il titolare detiene la responsabilità generale di tutti i trattamenti effettuati nell’ambito della propria attività, dovendo rispondere, anche a livello sanzionatorio, di eventuali violazioni del GDPR.
Autorizzati al trattamento (Person Authorized to Process Personal Data)
Il titolare opera spesso attraverso autorizzati al trattamento, cioè collaboratori e dipendenti che, agendo sotto la sua autorità e secondo istruzioni precise, gestiscono concretamente i dati personali.
Responsabili del trattamento (Data Processors)
In aggiunta, il titolare può avvalersi di soggetti terzi, detti responsabili del trattamento, i quali effettuano operazioni di trattamento per conto del titolare stesso. Si tratta di persone fisiche o giuridiche esterne al perimetro organizzativo del titolare (ad esempio, fornitori di servizi IT, società di consulenza specializzate, ecc.), preventivamente qualificate, con le quali, in linea con quanto stabilito dall’art. 28 del GDPR, devono essere stipulati specifici accordi contrattuali volti a definire i compiti e le responsabilità in materia di protezione dei dati personali.
Responsabile della Protezione dei Dati – RPD (DPO – Data Protection Officer)
Per assicurare che i trattamenti siano eseguiti in conformità ai principi fissati dal GDPR, il titolare può (o, in taluni casi specifici, deve) designare un Data Protection Officer (DPO). Il DPO è una figura professionale dotata di conoscenze specialistiche in materia di protezione dei dati e di capacità di assolvere ai compiti previsti dal Regolamento.
Il RPD/DPO si caratterizza per:
- requisiti professionali: il DPO deve possedere competenze approfondite in materia di normativa sulla protezione dei dati personali, unite a una solida conoscenza delle prassi operative specifiche del settore in cui opera l’organizzazione;
- ruolo e funzioni: egli svolge attività di consulenza, di sorveglianza e di formazione, fornendo al titolare e ai responsabili del trattamento indicazioni su come conformarsi alle disposizioni del GDPR. Il DPO funge inoltre da punto di contatto sia con gli interessati sia con l’Autorità di controllo competente;
- indipendenza: secondo quanto previsto dal GDPR, il DPO deve poter agire con autonomia e non deve ricevere istruzioni che possano interferire con l’imparzialità del suo giudizio.
La corretta comprensione dei ruoli e delle responsabilità di questi attori è la chiave per costruire un sistema di gestione della privacy solido e in linea con le prescrizioni del GDPR. Gli interessati rappresentano il fulcro del Regolamento, mentre il titolare – supportato dai propri collaboratori (autorizzati), dai responsabili del trattamento e dal DPO – è tenuto ad assicurare che l’intero ciclo di vita dei dati personali si svolga nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione, integrità, riservatezza e accountability. L’organizzazione pubblica o privata che gestisce in modo consapevole i rapporti tra questi soggetti può infatti garantire il massimo livello di protezione dei dati e, di conseguenza, rafforzare la fiducia di utenti, clienti e cittadini.
Consulta anche i seguenti articoli
Protezione e trattamento dei dati personali: i profili professionali
GDPR: scopi, definizioni e ambito di applicazione del Regolamento (UE) 2016/679
GDPR: approccio responsabile ai dai personali
Acquista il volume di EPC Editore
Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore