Figure e soggetti coinvolti

Il GDPR, come la vecchia normativa, individua la figura del Titolare del trattamento - la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che determina le finalità e i mezzi del trattamento di dati personali - così come quella del Responsabile  del trattamento - la persona fisica o giuridica, l'autorità pubblica, il servizio o l'organismo che tratta i dati personali per conto del trattamento.

La figura dell’Incaricato del trattamento - la persona fisica autorizzata a compiere operazione di trattamento dal titolare o dal responsabile - nel GDPR non è più espressamente regolamentata come nel Codice della Privacy (D.Lgs 196/2003). Il regolamento, però, prevede per il Titolare l’obbligo di formare gli addetti autorizzati al trattamento dei dati ed inoltre, in termini di misure tecniche e organizzative di sicurezza, il Garante raccomanda di mantenere in essere la struttura organizzativa e la modalità di designazione degli incaricati.

Il Regolamento, poi, introduce due nuove figure: quella del Rappresentate – la persona fisica o giuridica stabilita nell’Unione Europea, designata da un titolare o responsabile del trattamento straniero affinché lo rappresenti per quanto riguarda gli obblighi derivanti dal Regolamento -  e quella del DPO (Data Protection Officer).

 

| DPO

 

Anche la nomina del Data Protection Officer riflette l’approccio responsabilizzante che è proprio del Regolamento Europeo, poiché la funzione prevalente di questa figura è garantire la conformità di circolazione e protezione dei dati rispetto al GDPR.

Il DPO è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati; deve godere di ampia autonomia ed essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali, poiché ha il compito di analizzare, valutare e disciplinare la gestione del trattamento.


La nomina del DPO è obbligatoria:
  • quando il trattamento viene effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
  • qualora le attività principali del Titolare e del Responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • nell’ipotesi in cui le attività principali di suddetti soggetti consistano in trattamenti su larga scala di categorie particolari di dati personali (dati sensibili, genetici, biometrici o dati giudiziari).

Tale figura, di alto livello professionale, può essere un dipendente del titolare del trattamento o del responsabile del trattamento, oppure adempiere ai suoi compiti in base a un contratto di servizi.