Figure e soggetti coinvolti
Il GDPR, come la vecchia normativa, individua la figura del Titolare del trattamento - la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che determina le finalità e i mezzi del trattamento di dati personali - così come quella del Responsabile del trattamento - la persona fisica o giuridica, l'autorità pubblica, il servizio o l'organismo che tratta i dati personali per conto del trattamento.
La figura dell’Incaricato del trattamento - la persona fisica autorizzata a compiere operazione di trattamento dal titolare o dal responsabile - nel GDPR non è più espressamente regolamentata come nel Codice della Privacy (D.Lgs 196/2003). Il regolamento, però, prevede per il Titolare l’obbligo di formare gli addetti autorizzati al trattamento dei dati ed inoltre, in termini di misure tecniche e organizzative di sicurezza, il Garante raccomanda di mantenere in essere la struttura organizzativa e la modalità di designazione degli incaricati.
Il Regolamento, poi, introduce due nuove figure: quella del Rappresentate – la persona fisica o giuridica stabilita nell’Unione Europea, designata da un titolare o responsabile del trattamento straniero affinché lo rappresenti per quanto riguarda gli obblighi derivanti dal Regolamento - e quella del DPO (Data Protection Officer).
| DPO
Anche la nomina del Data Protection Officer riflette l’approccio responsabilizzante che è proprio del Regolamento Europeo, poiché la funzione prevalente di questa figura è garantire la conformità di circolazione e protezione dei dati rispetto al GDPR.
Il DPO è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati; deve godere di ampia autonomia ed essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali, poiché ha il compito di analizzare, valutare e disciplinare la gestione del trattamento.
La nomina del DPO è obbligatoria:
- quando il trattamento viene effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
- qualora le attività principali del Titolare e del Responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- nell’ipotesi in cui le attività principali di suddetti soggetti consistano in trattamenti su larga scala di categorie particolari di dati personali (dati sensibili, genetici, biometrici o dati giudiziari).
Tale figura, di alto livello professionale, può essere un dipendente del titolare del trattamento o del responsabile del trattamento, oppure adempiere ai suoi compiti in base a un contratto di servizi.