Nomine GDPR
Indice dei contenuti
Le nomine GDPR fanno parte dell’adeguamento GDPR, ma meritano particolare attenzione. La normativa privacy prevede figure specifiche con ruoli fondamentali nell’ambito delle operazioni di trattamento.
1. Titolare del trattamento
Il Titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
In altre parole, è il soggetto che decide cosa fare con i dati personali e la qualità di Titolare discende direttamente dai poteri esercitati (o esercitabili) sui dati personali.2. Incaricati o autorizzati al trattamento dei dati personali
Il Titolare può nominare gli incaricati (anche se non espressamente previsti dal GDPR) che operano sotto la diretta responsabilità del Titolare o del Responsabile. Ad esempio, i semplici impiegati che trattano i dati personali nell’ambito delle proprie mansioni lavorative. Essendo una misura organizzativa interna, ogni azienda valuterà come procedere con la nomina degli incaricati.
3. Il Responsabile del trattamento
Il Responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica o altro organismo che tratta dati personali per conto del titolare del trattamento. Questa figura è nominata in caso di necessità dal Titolare del trattamento. Il più delle volte, il Responsabile del trattamento è un fornitore (quindi un soggetto esterno all’azienda) o risorse in outsourcing. Il Titolare ha l’obbligo di nominare il Responsabile del trattamento con un atto giuridico, quindi un contratto o accordo, che farà espresso riferimento alla normativa privacy, con l’indicazione di tutti i trattamenti e altre operazioni autorizzate dal Titolare. Accade spesso che i soggetti nominati come Responsabili del trattamento, si comportino come dei titolari. Pensiamo, ad esempio, ai consulenti del lavoro, ai commercialisti, che possono già avere una propria organizzazione in merito al trattamento dei dati personali. Occorre, pertanto, descrivere in modo dettagliato nell’accordo i trattamenti autorizzati dal Titolare.
4. Il Responsabile della protezione dei dati personali (c.d. Data protection Officer o DPO)
Il GDPR prevede che in alcuni casi venga nominato obbligatoriamente il Responsabile della protezione dei dati. Il DPO può essere nominato dal Titolare o al Responsabile del trattamento. Al DPO devono essere messi a disposizione i mezzi finanziari e l’organico necessario per espletare il proprio incarico.
Il DPO ha diversi obblighi, in particolare:
- -deve fornire consulenza al Titolare, al Responsabile del trattamento e agli Incaricati in merito agli obblighi privacy;
- -deve vigilare sul rispetto delle norme e sulle politiche aziendali messe in atto dal Titolare;
- -deve fornire pareri in merito alla valutazione di impatto sulla protezione dei dati personali:
- -deve collaborare con l’Autorità Garante della Privacy e con le altre autorità di controllo (Ad esempio, la Guardia di Finanza).
Questa figura deve essere nominata obbligatoriamente:
- -dalle amministrazioni e organismi pubblici;
- -dai soggetti la cui attività principale consiste in trattamenti dei dati che, per loro natura, per il loro oggetto o per le loro finalità, richiedono un controllo regolare e sistematico degli interessati (cioè i soggetti che conferiscono i dati personali);
- -da tutti i soggetti che svolgono un’attività che consiste nel trattamento dei dati su larga scala, di dati sensibili (particolari), genetici, giudiziari e biometrici.
Se ti interessa approfondire l’argomento DPO leggi l’articolo del Blog.
5. L’Amministratore di sistema
L’Amministratore di sistema è una figura che opera nell’ambito informatico, con l’incarico di gestire le risorse hardware e software aziendali. Anche questa figura, come gli incaricati, non trova un riferimento diretto nel GDPR, ma è una figura fondamentale. Tutti i dati personali sono trattati in formato elettronico e, pertanto, tutti i sistemi informatici devono essere regolarmente controllati con una manutenzione periodica. E’ consigliabile nominare come Amministratore di sistema una persona esperta. Il Titolare indicherà nella nomina dell’Amministratore di sistema l’ambito di operatività e vigilerà sul suo operato. Generalmente l’Amministratore di sistema si occupa anche della gestione del sito web aziendale, del data base e, in generale, delle reti informatiche.