- Autore: Walter Della Mora
- Pubblicato il: 16 Set 2022
- Aggiornato il: 21 Ago 2023
I soggetti del GDPR
I soggetti che agiscono nell’ambito della privacy sono:
- l’interessato al trattamento dei dati;
- il titolare del trattamento dei dati;
- il responsabile del trattamento dei dati;
- l’incaricato al trattamento dei dati;
- il responsabile della protezione dei dati;
- il garante della privacy.
L’INTERESSATO AL TRATTAMENTO (Data Subject)
L’interessato è la persona fisica a cui si riferiscono i dati personali.
È la figura più importante perché sono i suoi diritti e le sue libertà che il GDPR, e tutti gli altri soggetti, si propongono di tutelare.
IL TITOLARE DEL TRATTAMENTO DEI DATI (Data Controller)
È il soggetto (persona fisica, giuridica, pubblica amministrazione o ente) che decide quali sono i dati dell’interessato da utilizzare, in che modo e per quali finalità.
È tenuto a dimostrare agli organi di controllo che è consapevole del suo ruolo e dell’impatto che il trattamento dei dati può avere sui diritti e sulle liberà degli interessati. Per fare ciò, prima di iniziare le attività di trattamento, deve eseguire una valutazione dei rischi e adottare le misure tecniche e procedurali idonee a ridurli.
In caso di inadempienza risponde per il danno cagionato all’interessato.
IL RESPONSABILE DEL TRATTAMENTO DEI DATI (Data Processor)
È il soggetto (persona fisica, giuridica, pubblica amministrazione o ente) che tratta i dati personali per conto del Titolare.
Si tratta di un soggetto distinto dal Titolare la cui nomina avviene con un contratto che disciplina materia, durata, natura e finalità del trattamento dei dati personali trattati.
Alcuni esempi di attività che, se esternalizzate, richiedono la nomina di un Responsabile del trattamento:
- elaborazione di buste paghe;
- tenuta della contabilità;
- software di archiviazione in cloud;
- videosorveglianza;
- servizi per il mail marketing.
L’INCARICATO/ADDETTO AL TRATTAMENTO DEI DATI
È il soggetto (solo persona fisica) che effettua materialmente le operazioni di trattamento sui dati personali.
È un esecutore. Non può agire in autonomia e si deve attenere scrupolosamente alle istruzioni ricevute dal Titolare e/o Responsabile, di conseguenza le sue responsabilità sono minori.
La nomina non prevede un atto formale, ma è fondamentale che riceva una formazione appropriata da parte del Titolare e/o del Responsabile. Tale formazione va ripetuta e, se necessario, aggiornata nel tempo. Il Titolare e il Responsabile sono tenuti a dimostrare agli organi di controllo che la formazione è stata effettuata e verificata.
IL RESPONSABILE PER LA PROTEZIONE DATI (RPD/DPO)
È il soggetto (persona fisica o giuridica) designato dal Titolare che svolge funzioni di supporto e controllo, consultive, formative e informative finalizzate a garantire l’osservanza del regolamento. Nell’assolvere le sue funzioni non dipende dal Titolare ma agisce in piena autonomia e in assenza di conflitti di interesse.
Collabora con l’Autorità di controllo e gli interessati, fungendo da punto di contatto per facilitare l’accesso ai documenti e alle informazioni in caso di ispezioni, richieste di informazioni o esercizio dei diritti.
La sua nomina è obbligatoria solo nei casi specificamente previsti dal GDPR.
Il ruolo del DPO può essere affidato un dipendente (purché il suo inquadramento non costituisca un limite alla sua libertà di azione) oppure a un fornitore esterno (libero professionista o azienda) tramite apposito contratto.
Non essendo personalmente responsabile dell’inosservanza degli obblighi imposti dal GDPR (responsabilità che spetta al Titolare e al Responsabile) il DPO risponde solo dello svolgimento dei suoi obblighi di consulenza e assistenza. Nei suoi confronti il Titolare può avanzare pretese risarcitorie unicamente basate sulla responsabilità contrattuale.
Il GARANTE PER LA PROTEZIONE DEI DATI PERSONALI (Garante Privacy)
Il Garante per la protezione dei dati personali, o Garante della Privacy, è un’autorità amministrativa indipendente. Ogni Stato membro dell’Unione Europea ha la sua.
In particolare ha il compito di:
- controllare che i trattamenti dei dati personali siano effettuati nel rispetto del regolamento privacy e delle leggi nazionali;
- ricevere ed esaminare ricorsi, reclami e segnalazioni;
- nei casi di trattamenti che violano il regolamento, ammonire titolari e responsabili o imporre limitazioni o blocchi delle attività di trattamento;
- quando necessario, adottare i provvedimenti previsti dalla normativa ed erogare le dovute sanzioni amministrative e penali;
- promuovere la conoscenza della normative sulla protezione dei dati personali;
In Italia l’organo di controllo che nella maggior parte dei casi effettua le verifiche ispettive nelle sedi dei titolari e dei responsabili è la guardia di finanza.
CONCLUSIONI
I soggetti appena descritti ricoprono ruoli interconnessi perciò, affinché la privacy dei dati sia garantita, le loro interazioni devono essere efficaci e attendibili.
È da questa consapevolezza che è nato il progetto PersonalDOX, il cui obiettivo è proprio quello di creare uno spazio dove tutti questi soggetti possano operare sinergicamente per raggiungere una maggiore tutela dei diritti e delle libertà degli interessati.
Se vuoi saperne di più visita la pagina di PersonalDOX
Approfondimenti
Condividi:
Articoli collegati
L’informativa privacy
Il principale strumento per informare l’interessato al trattamento
La profilazione
Un puzzle fatto con i pezzi della nostra identità
Digitalizzazione e dematerializzazione degli archivi
La digitalizzazione dei documenti è un percorso che tutte le aziende dovranno intraprendere
Gamification e privacy
Il divertimento in azienda è positivo, attenzione però alla privacy
L’errore umano nella gestione della privacy
La causa principale delle violazioni dei dati è da imputare all’errore umano