Il titolare del trattamento dei dati è una figura fondamentale nell’ambito dell’organizzazione, dell’ente o dell’azienda,. In questo articolo vediamo quali sono le sue funzioni, le responsabilità e gli adempimenti.
Chi è il Titolare del trattamento dati personali
La definizione di Titolare del Trattamento è riportata nell’art. 4 del DGPR.
Il titolare del trattamento è definito come la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Quando le finalità, le condizioni e i mezzi del trattamento sono determinati dal diritto dell’Unione o dal diritto di uno Stato membro, il titolare del trattamento o i criteri specifici applicabili alla sua nomina possono essere designati dal diritto dell’Unione o dal diritto dello Stato membro.
Quindi chiunque desideri acquisire i dati personali di un interessato diventa automaticamente titolare del trattamento.
Cosa spetta al Titolare del Trattamento dati personali?
Il titolare del trattamento dei dati è tenuto ad adottare politiche e attuare misure adeguate a garantire che il trattamento dei dati personali sia conforme alla normativa.
Oltre alla legittima conservazione della documentazione ed all’attuazione dei necessari requisiti di sicurezza dei dati, è prevista:
- l’esecuzione della valutazione d’impatto sulla protezione dei dati (concetto del tutto nuovo),
- il rispetto dei requisiti di autorizzazione preventiva o di consultazione preventiva dell’autorità di controllo (autorità pubblica istituita da uno Stato membro, incaricata di sorvegliare l’applicazione del Regolamento e di contribuire alla sua coerente applicazione in tutta l’Unione) e del responsabile della protezione dei dati,
- la designazione di un responsabile della protezione dei dati e la definizione di informazioni e comunicazioni trasparenti da fornire all’interessato.
Titolare del trattamento: principio di trasparenza
In virtù del principio di trasparenza, l’art. 12 del Regolamento sancisce che:
- il titolare del trattamento debba adottare misure appropriate per fornire all’interessato tutte le informazioni necessarie e le comunicazioni relative al trattamento dei dati personali
- in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. In particolare nel caso di informazioni destinate specificamente ai minori.
Titolare del trattamento e GDPR
Il titolare del trattamento deve essere in grado di dimostrare l’efficacia di tali misure e ciò nel rispetto dell’importante principio di accountability che viene recepito dal Regolamento europeo. Per lo stesso motivo il Regolamento intende definire una responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che abbia effettuato direttamente o altri abbia effettuato per suo conto. In particolare, il titolare del trattamento deve garantire ed essere in grado didimostrare la conformità di ogni trattamento con il Regolamento.
Privacy by design
Altra importante novità connessa alla figura del titolare del trattamento è il recepimento dei principi della privacy by design per cui lo stesso titolare, tenuto conto dell’evoluzione tecnica e dei costi di attuazione, deve mettere in atto adeguate misure e procedure tecniche e organizzative in modo tale che il trattamento sia conforme al Regolamento e assicuri la tutela dei diritti dell’interessato.
In particolare, se all’interessato è lasciata facoltà di scelta relativamente al trattamento dei dati personali, il titolare del trattamento garantisce che siano trattati, di default, solo i dati personali necessari per ciascuna finalità specifica del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione non vadano oltre il minimo necessario per le finalità perseguite.
Titolare del trattamento dati e responsabile del trattamento dati
Il Titolare del trattamento dati è il responsabile finale dell’intera attività. Non sempre esso ha una competenza specifica. Esattamente come un datore di lavoro potrebbe non avere le competenze necessarie per svolgere l’attività di Responsabile del Servizio di Prevenzione e Protezione.
In virtù di questa situazione, il Regolamento consente al Titolare di designare un Responsabile del Trattamento, cui può affidare mansioni significative, incisive e di elevata professionalità, in fase di gestione dei dati personali.
Obblighi del titolare del trattamento
Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento non conforme al Regolamento.
Il Regolamento chiarisce che spetta al titolare, e non al DPO, “mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” (art. 24, paragrafo 1).
Il rispetto delle norme in materia di protezione dei dati fa parte della responsabilità d’impresa del titolare del trattamento, non del DPO.
Un responsabile del trattamento risponde per il danno cagionato dal trattamento solo se non ha adempiuto gli obblighi del Regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo esterno o contrario alle legittime istruzioni del titolare del trattamento.
Sicurezza del trattamento dati personali
Il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
Tali misure comprendono:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
- una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
- Che differenza c’è tra titolare e responsabile del trattamento dati?
Il titolare del trattamento è colui che ha necessità di raccogliere e trattare dati personali (figura apicale), il responsabile del trattamento è un soggetto che opera alle sue dipendenze e che deve garantire il rispetto puntuale delle istruzioni ricevute, trattando i dati con professionalità, sicurezza e competenza.
Consulta anche i seguenti articoli
Protezione e trattamento dei dati personali: i profili professionali
Data Protection Officer: definizione, nomina, compiti e requisiti
Il profilo professionale del manager della privacy: compiti, conoscenze e requisiti
Per saperne di più consulta i volumi di EPC Editore
Aggiornati con i corsi di formazione dell’Istituto INFORMA
Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore