Chi è responsabile della privacy in un'azienda?

Il titolare del trattamento stabilisce le finalità e le modalità del trattamento dei dati personali. La tua azienda/organizzazione è contitolare del trattamento quando insieme a una o più organizzazioni definisce congiuntamente «perché» e «come» devono essere trattati i dati personali. I contitolari del trattamento devono stipulare un accordo che definisca le rispettive responsabilità per quanto riguarda il rispetto delle norme del GDPR. Gli aspetti principali dell’accordo devono essere comunicati alle persone i cui dati sono oggetto di trattamento. Il responsabile del trattamento tratta i dati personali solo per conto del titolare del trattamento. Il responsabile del trattamento è di solito un terzo esterno all’azienda. Il birrificio è il titolare del trattamento e la società addetta all’elaborazione delle buste paga è il responsabile del trattamento. La tua azienda/organizzazione è contitolare del trattamento quando insieme a una o più organizzazioni definisce congiuntamente «perché» e «come» devono essere trattati i dati personali. Entrambe le aziende sono coinvolte nella configurazione del sito web. In questo caso, le due aziende hanno deciso di utilizzare la piattaforma per entrambi gli scopi e molto spesso condividono i nominativi dei clienti. Pertanto, le due aziende sono contitolari del trattamento perché non solo accettano di offrire la possibilità di «servizi combinati», ma progettano e utilizzano anche una piattaforma comune.

Il titolare del trattamento dei dati personali è il soggetto al quale compete definire le finalità e le modalità dei trattamenti che egli stesso intende operare. Il titolare del trattamento dei dati personali è il soggetto al quale compete conformare le sua attività alle norme nazionali e internzionali, e documentare tale conformità. Il titolare del trattamento dei dati personali è il soggetto al quale compete controllare nel tempo che la conformità alle norme sia mantenuta, casomai adeguando le misure alla mutata realtà tecnologica. Il Data Protection Officer (DPO) è una figura professionale che ha il compito di coadiuvare il Titolare del trattamento nell'adempimento degli obblighi derivanti dal GDPR. Il DPO deve essere nominato obbligatoriamente in alcune casistiche, come ad esempio quando il trattamento include dati sensibili su larga scala o quando il trattamento presenta un rischio elevato per i diritti e le libertà degli Interessati. Il DPO è il punto di contatto per le Autorità di controllo e per gli Interessati.

Il titolare del trattamento dei dati personali negli enti pubblici e privati è la struttura nel suo complesso e cioè il soggetto al quale competono le scelte di fondo sulla raccolta e sull´utilizzazione dei dati. Non devono, quindi, essere considerati come "titolari" le singole persone fisiche che l´amministrano o che la rappresentano. Il Garante ha chiarito, peraltro, che se i "titolari" sono le imprese e le amministrazioni pubbliche, per esse opereranno, nelle diverse scelte che sia necessario assumere, i rispettivi amministratori. L´autorità ha, peraltro, ribadito che, nel caso di grandi enti o amministrazioni, articolati in direzioni generali o in sedi centrali e periferiche dotate di poteri decisionali del tutto autonomi sui trattamenti effettuati nel loro ambito, le stesse articolazioni possono a loro volta essere considerate come "titolari" o "contitolari" del trattamento. Il titolare può nominare anche più responsabili del trattamento, scegliendoli in base alle funzioni amministrative esercitate o alle aree territoriali in cui operano, oppure in base al ruolo svolto nel campo informatico. Si dovrà tenere conto, in ogni caso, del preciso rapporto che la legge 675 disciplina tra il titolare e il responsabile del trattamento, il soggetto cioè a cui può essere affidata, per la sua esperienza e capacità, la concreta gestione e la vigilanza sulla sicurezza delle banche dati.