Il Responsabile del trattamento dei dati è la persona fisica, giuridica, ente, associazione o azienda incaricata di gestire e trattare i dati personali per conto di un titolare, secondo quanto espresso dall’art. 4, par. 1, n. 8 GDPR.
La privacy, il trattamento dei dati, il GDPR, e tutto ciò che ruota attorno a questi temi, sono concetti spesso trascurati dalle persone, e il motivo è uno soltanto.
Le informazioni a riguardo sono spesso troppo tecniche. Questo risulta davvero complicato per chi, non sapendo nulla in merito, vuole informarsi autonomamente.
Ecco cosa mi ha spinto a scrivere questo articolo.
Voglio spiegarti, in parole semplici, chi è il responsabile del trattamento dei dati personali mostrandoti, passo dopo passo, che differenza c’è tra responsabile e titolare del trattamento, gli obblighi del responsabile e i riferimenti normativi in vigore ad oggi.
Seguimi, ti aiuterò a comprendere cosa dice la legge in modo semplice e chiaro.
Chi è l’Incaricato del Trattamento dei dati personali
Prima di procedere nel darti tutte le informazioni che ti ho anticipato, è necessario fare una piccola deviazione per spiegarti, brevemente, il ruolo dell’Incaricato del trattamento dei dati personali.
So che ti starai chiedendo: Perché è necessario saperlo? E la risposta è molto diretta: questa figura viene, troppo spesso, confusa con quella del Responsabile del Trattamento, nonostante abbia una definizione ben differente da questa.
Come ho anticipato, il Responsabile del trattamento può essere una persona fisica, giuridica, ente, associazione o persino una pubblica amministrazione.
L’incaricato del trattamento invece è una persona fisica che opera sotto la diretta autorità del Titolare e del Responsabile del trattamento.
È, in parole semplici, colui che effettua le operazioni di trattamento dei dati personali secondo quanto riferisce l’art. 4, comma 1, lett. “h” del D.Lgs. 196/2003 (Codice Privacy).
Come vedrai successivamente, per quanto riguarda il Responsabile del Trattamento, anche l’Incaricato deve ricevere apposita autorizzazione dal Titolare del Trattamento per poter trattare i dati che gli vengono forniti.
Fatto questo excursus, possiamo riprendere dagli obblighi del Responsabile del Trattamento dei dati personali: il protagonista di questo articolo.
Obblighi del Responsabile dei dati personali
Il Responsabile del Trattamento, una volta incaricato dal Titolare tramite un apposito contratto, ha degli obblighi da rispettare, sia nei confronti del titolare del trattamento che dei titolari dei dati personali.
Questi obblighi sono:
- Trattare i dati personali solo secondo le disposizioni del titolare;
- Tenere il registro delle attività di trattamento da Responsabile;
- Garantire la privacy degli interessati;
- Garantire la sicurezza dei dati personali trattati adottando tutte le misure di sicurezza adeguate al rischio di cui all’art. 32 GDPR;
- L’obbligo di notificare subito le violazioni dei dati personali all’autorità di controllo e agli interessati.
Per conoscere tutti i dettagli normativi in merito ti consiglio di esaminare l’art. 28 GDPR, che definisce obblighi e doveri del Responsabile del Trattamento dei dati personali.
A questo punto sorge spontanea una domanda: se è vero che il Responsabile ha l’obbligo di notificare rapidamente le violazioni dei dati personali al Titolare e alle autorità…
Chi è l’organo che controlla il corretto operato del Responsabile?
Ecco che entra in gioco un’altra importante figura per la tutela della privacy: il Data Protection Officer (DPO).
Che differenza c’è tra DPO e RPD?
Il DPO, ovvero il Data Protecnion Officer, non è altro che la traduzione in lingua inglese del Responsabile della Protezione dei Dati, conosciuto con la sigla (RPD).
In parole semplici, non vi è alcuna differenza: si tratta della stessa persona.
La figura del Responsabile della Protezione Dati è stato introdotto con il GDPR (Regolamento Generale sulla Protezione dei Dati) nel 2018 ed è di fondamentale importanza per la protezione dei dati personali.
Esso infatti ha il compito di controllare se le organizzazioni, aziende, persone fisiche e giuridiche rispettino le normative vigenti in materia di protezione dei dati personali.
Chi è il titolare del trattamento dei dati personali?
Prima di continuare ritengo sia necessario fare un piccolo punto della situazione. Abbiamo chiarito la posizione del Responsabile del Trattamento, ovvero colui che viene incaricato da privati o aziende a gestire il trattamento dei dati.
Abbiamo anche visto il ruolo dell’Incaricato al trattamento, ovvero la persona fisica che tratta direttamente i dati delle persone.
A questo punto però è doveroso chiarire anche la posizione del Titolare del trattamento, che spesso viene confuso con il titolare dei dati.
Cominciamo con una semplice definizione:
“Il Titolare del trattamento (o data controller) è la persona fisica o giuridica, l’autorità pubblica, il servizio o pubblica amministrazione che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”
Volendolo descrivere più semplicemente, possiamo definirlo come colui che è incaricato di dire al Responsabile del trattamento o, qualora non fosse nominato, al Responsabile all’Incaricato del Trattamento, come devono essere trattati i dati e con quali mezzi.
Arrivato a questo punto potresti chiederti legittimamente: ma quindi, a cosa serve la figura del Responsabile (o dell’Incaricato) se il Titolare del Trattamento ha tutte le carte in regola per trattare i dati personali?
Vediamo che differenza c’è tra l’una e l’altra figura.
Differenza tra titolare e responsabile del trattamento GDPR
Per comprendere la differenza in maniera semplice ed esaustiva, voglio riportarti un esempio pratico.
Una fabbrica che produce motori elettrici ha molti dipendenti. Il titolare della fabbrica, o chi ne fa le veci, firma un contratto con una società di commercialisti incaricata all’elaborazione delle buste paga che serviranno poi per pagare gli stipendi dei propri dipendenti.
Il titolare della fabbrica, o il suo responsabile, indica alla società di commercialisti quando deve essere pagato lo stipendio, quando un dipendente lascia l’azienda o ottiene un aumento di stipendio, e fornisce tutti gli altri dati per le buste paga e i pagamenti.
Il responsabile della fabbrica o il suo superiore sono considerati in questo esempio i Titolari del Trattamento dei dati personali.
La società del commercialista che tratta i dati dei dipendenti della fabbrica di motori, attraverso anche l’utilizzo di software o piattaforme dedicate (i mezzi), viene definita Responsabile del Trattamento dei dati.
E come tale, non solo deve seguire le indicazioni fornite dal Titolare del Trattamento ma anche adoperarsi in modo da non incorrere in comportamenti illeciti che violano la privacy dei dati trattati.
Nomina responsabile trattamento dati: come funziona?
Appurata la differenza tra Titolare e Responsabile, sorge spontanea una domanda: come viene incaricata la società di commercialisti a diventare il responsabile del Trattamento per conto dell’azienda produttrice di motori elettrici?
La risposta è molto semplice: tramite un vero e proprio contratto di nomina che sigli l’accordo tra le parti.
Il contratto, o altro atto di valenza giuridica, è disciplinato dall’articolo 28 del GDPR, che definisce le clausole contrattuali tipo tra titolari del trattamento e responsabili del trattamento.
Se hai piacere di approfondire questo aspetto ti lascio a disposizione il link della normativa – art. 28 GDPR.
In alternativa, se tuttavia non hai ancora chiaro qualche aspetto di questo argomento, o vuoi approfondire dettagliatamente la questione per il tuo caso specifico, ti consiglio di contattarmi personalmente.
Sarò felice di seguirti e aiutarti a comprendere al meglio tutti gli aspetti della privacy e del trattamento dei dati personali per la tua azienda o il tuo personal brand.
