Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; il Responsabile del trattamento è individuato nel GDPR nella persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Per approfondimenti in materia vedi il volume: Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
1. Il titolare del trattamento
Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali[1]. Tale definizione risulta fondamentale e nasce dall’esigenza di stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento è tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure[2]. Il titolare del trattamento deve tenere conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Inoltre, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento europeo[3]. Pertanto, è compito del titolare del trattamento adottare misure tecniche e organizzative necessarie ad assicurare, per il trattamento dei dati personali, l’attuazione del regolamento. Il titolare del trattamento deve indicare, inoltre, le persone autorizzate al trattamento di dati personali[4].
Il titolare del trattamento deve essere in grado di dimostrare, per quanto riguarda i trattamenti basati sul consenso dell’interessato, che quest’ultimo ha acconsentito al trattamento, per il tramite di un consenso che rappresenta una manifestazione di volontà specifica, determinata, inequivocabile, diretta, il cui onere della prova spetta allo stesso titolare del trattamento. In particolare, nel contesto di una dichiarazione scritta relativa a un’altra questione devono esistere garanzie che assicurino che l’interessato sia consapevole del fatto di prestare un consenso e della misura in cui ciò avviene. In conformità della direttiva 93/13/CEE del Consiglio è opportuno prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive, la c.d. informativa preventiva[5]. Ai fini di un consenso informato, l’interessato deve essere posto a conoscenza almeno dell’identità del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali. Il consenso non deve essere considerato liberamente prestato se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio[6].
Inoltre, al fine di agevolare l’esercizio da parte dell’interessato dei diritti disciplinati dal Regolamento europeo, il titolare del trattamento deve predisporre anche i mezzi per inoltrare le richieste per via elettronica, in particolare qualora i dati personali siano trattati con mezzi elettronici. Il titolare del trattamento è tenuto a rispondere alle richieste dell’interessato senza ingiustificato ritardo e al più tardi entro un mese e a motivare la sua eventuale intenzione di non accogliere tali richieste[7].
Potrebbero interessarti anche:
2. Il responsabile del trattamento
Il Responsabile del trattamento è individuato nel GDPR nella persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento[8]. L’articolo 28 del Regolamento europeo stabilisce che quando un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato. Inoltre, i trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico è stipulato in forma scritto, anche elettronica, e può basarsi su clausole contrattuali tipo, stabilite dalla Commissione europea o da un’autorità di controllo. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:
- a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
- b) garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- c) adotti tutte le misure richieste ai sensi dell’articolo 32;
- d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
- e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
- f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
- g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;
- h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.
Il responsabile del trattamento, a sua volta, può ricorrere ad un altro responsabile, c.d. co-responsabile, solo in presenza di un’autorizzazione scritta da parte del titolare del trattamento. Su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento.
Infine, il responsabile del trattamento, anche se ha accesso a dati personali non li può trattare se non è istruito in tale senso dal titolare del trattamento salvo che lo richieda il diritto dell’Unione o degli Stati membri[9]. Il nostro Codice della privacy stabilisce che il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità, che specifici compiti e funzioni legate al trattamento dei dati personali siano attribuite a persone fisiche, da loro designate.
Volume per approfondire
Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto.
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | Maggioli Editore 2019
25.60 €
- [1]
Articolo 4, comma 1, n. 7) del GDPR 2016/679
- [2]
Considerando n. 74 del GDPR 2016/679.
- [3]
Articolo 24, comma 1, del GDPR 2016/679.
- [4]
Considerando 29 del GDPR 2016/679.
- [5]
Articolo 12 del GDPR 2016/679.
- [6]
Considerando 42 del GDPR 2016/679.
- [7]
Considerando 59 del GDPR 2016/679.
- [8]
Articolo 4, comma 1, n. 8) del GDPR 2016/679.
- [9]
Articolo 29 del GDPR 2016/679.
Scrivi un commento
Accedi per poter inserire un commento