Quali figure sono previste dalla nuova normativa sulla privacy nella gestione dei dati?
Il Titolare del Trattamento (art.24) determina finalità e mezzi di trattamento. E’ responsabile delle misure tecniche e organizzative e dell’adeguamento al GDPR.
La definizione è sostanzialmente conforme a quella del Codice della Privacy.
La figura del titolare del trattamento non discende da una scelta ma dalla individuazione di chi ha potere decisionale su finalità e modalità d’uso dei dati, su strumenti o misure di sicurezza da adottare. Non un ruolo obbligatorio, quindi, ma derivato dalla presenza di un trattamento.
Il Responsabile del trattamento (art.28-29) è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo esterno che tratta dati personali per conto e sulla base delle istruzioni del titolare. Titolare e responsabile pertanto rivestono ruoli e funzioni differenti nell'organigramma del trattamento, ove il primo – di norma superiore gerarchicamente – designa il secondo in virtù di un atto formale di nomina.
Nel passaggio al Regolamento europeo si rileva che la figura dell'incaricato è formalmente scomparsa e resta soltanto un generico riferimento alle “persone autorizzate al trattamento dei dati personali” (che potrebbero essere anche giuridiche), per le quali è prevista la sottoscrizione di opportuni accordi di riservatezza rispetto ai dati personali ai quali ha accesso. Il D.Lgs. 101/2018 (correttivo del D.Lgs. 196/2003) introduce i soggetti designati per specifici compiti, sotto l’autorità del titolare del trattamento.
Il Regolamento introduce una figura che non era presente nella vecchia normativa: il Responsabile per la protezione dei dati o Data Privacy Officer (DPO) – Art.37. Soggetto terzo che ‘certifica’ la validità dei processi di gestione della privacy. E’ un punto di riferimento esperto di privacy che facilita l’osservanza delle disposizioni del GDPR. Punto di contatto dell’Autorità di controllo e degli interessati.
E’ obbligatorio se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico; se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.