Quando un’azienda, o un privato, chiede (e ottiene) il consenso al trattamento dei dati personali di un individuo scattano una serie di meccanismi volti a garantire il rispetto del diritto alla Privacy dell’Interessato. Uno di questi consiste nell’individuare i soggetti a cui spetta la tutela di questo diritto, attraverso una serie di regole volte a garantire che il trattamento avvenga nel rispetto della legge e dei diritti del titolare dei dati. La legge ne individua tre: il Titolare, il Responsabile e l’Incaricato del trattamento.

Quali sono le differenze? Quali sono gli obblighi, i poteri e le responsabilità, civili e penali, di ciascuna di queste figure?

Qual è la differenza tra titolare, responsabile e incaricato del trattamento?

Nonostante i cambiamenti introdotti dal Nuovo Regolamento UE 2016/679 (GDPR, Regolamento Generale sulla protezione dei dati), le basi normative introdotte dal Codice della Privacy (D.lgs. n. 196/2003) rimangono invariate. La terminologia del Nuovo Regolamento, sotto questo punto di vista, si allinea alla normativa nazionale. Le figure coinvolte nel trattamento dei dati sono sempre le stesse: si parla di Titolare, Responsabile e Incaricato del trattamento, sia a livello comunitario che a livello nazionale. Il Regolamento definisce, infatti, caratteristiche soggettive e responsabilità del Titolare e Responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano). La disciplina europea introduce, tuttavia, alcune novità significative che – come vedremo – vanno a rafforzare la tutela del diritto alla Privacy e, di conseguenza, i diritti degli Interessati.

Titolare del trattamento

Il Titolare del trattamento è la persona fisica o giuridica a cui spettano, singolarmente o di concerto con altro Titolare, tutte le decisioni in merito alle finalità e modalità del trattamento, compresi i profili inerenti alla sicurezza. Una delle novità più significative introdotte dal Regolamento Europeo Privacy è la possibilità che vi siano più soggetti Titolari del medesimo trattamento. L’art. 26 disciplina, infatti, la contitolarità del trattamento e impone a ciascun Titolare di definire specificamente, tramite contratto (o altro atto giuridicamente valido in base al diritto nazionale), il rispettivo ambito di responsabilità e compiti in merito al rispetto degli obblighi previsti dal regolamento, con particolare riguardo all’esercizio dei diritti da parte del soggetto Interessato (che può rivolgersi indifferentemente all’uno o all’altro). Il Titolare (o i Titolari, che operano congiuntamente) risponde, sotto ogni punto di vista, di eventuali trattamenti illeciti penali perpetrati da Responsabili o eventuali Incaricati al trattamento, soprattutto nel caso in cui non abbia adempiuto ai propri obblighi di corretta e chiara definizione delle modalità da seguire per il trattamento dei dati (e per la tutela della loro sicurezza).

Responsabile del trattamento

Per Responsabile del trattamento si intende la persona fisica o giuridica preposta dal Titolare al trattamento dei dati personali. Si tratta di una figura di carattere facoltativo: l’art. 29 del Codice Privacy definisce, infatti, come Responsabile “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo, che possono essere preposti dal Titolare al trattamento dei dati”. Se designato, il Responsabile deve essere selezionato con criterio tra soggetti altamente qualificati, ovvero tra coloro che per esperienza, capacità o particolari doti di affidabilità siano in grado di garantire il rispetto degli obblighi di legge, ivi compreso il profilo della sicurezza. Possono essere nominati anche più Responsabili del trattamento che, nel ripartirsi i compiti previsti dalle norme vigenti, svolgono il proprio lavoro su un piano di perfetta parità. Una delle novità previste dal Regolamento UE è la possibilità di nominare sub-responsabili del trattamento da parte di un Responsabile, previa autorizzazione scritta da parte del Titolare. La nomina può avvenire solo per delegare lo svolgimento di specifiche attività di trattamento e obbliga il soggetto sub-responsabile agli stessi obblighi contrattuali che legano Titolare e Responsabile primario. Quest’ultimo risponde, infatti, al Titolare dell’eventuale inadempimento del sub-responsabile, anche ai fini del risarcimento dei danni causati dal trattamento illecito (a meno che non dimostri che l’evento dannoso “non gli è in alcun modo imputabile”). Il Titolare, infatti, “deve vigilare sulla puntuale osservanza delle disposizioni del Codice e delle istruzioni impartite” (art. 29 comma 5). Il Responsabile del trattamento, inoltre, deve essere designato con un contratto (o altro atto giuridicamente valido), individuando in modo tassativo, e per iscritto, i compiti, le responsabilità e lo specifico ambito di operatività. In particolare, al Responsabile deve essere specificata la natura, durata e finalità del trattamento assegnato, la tipologia di dati personali e le categorie di Interessati a cui i dati si riferiscono nonché le istruzioni sulla base delle quali dovrà operare, ivi comprese le misure tecniche e organizzative idonee a consentire il rispetto delle istruzioni impartite e, più in generale, del Regolamento. L’art. 28 individua, nello specifico, i compiti del Responsabile, tra cui:

  • la tenuta del registro dei trattamenti svolti;
  • l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 regolamento);
  • la designazione di un RPD (Responsabile per la protezione dei dati), nei casi previsti dal regolamento o dal diritto nazionale;
  • la redazione, con cadenza annuale (entro il 31 marzo), del Documento Programmatico sulla Sicurezza.

Nel caso in cui Titolare o Responsabile del trattamento non siano stabiliti all’interno dell’Unione Europea, dovrà essere designato per iscritto un rappresentante nell’Unione, il quale dovrà essere stabilito in uno degli Stati Membri in cui si trovano gli Interessati e i cui dati personali sono trattati. L’obiettivo è fornire alle autorità di controllo nazionali (e al soggetto Interessato) un interlocutore stabile per tutte le questioni inerenti alla sicurezza del trattamento.

Incaricato del trattamento

Sono Incaricati del trattamento, ex art. 4 lett. h) del Codice Privacy “le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile“. Gli incaricati, dunque, possono essere solo persone fisiche, obbligatoriamente designate per iscritto dal Titolare o Responsabile del trattamento. Nell’atto di designazione, inoltre, deve essere indicato lo specifico ambito del trattamento consentito. Si tratta di una figura obbligatoria nelle imprese, private o pubbliche, dal momento che solo gli Incaricati possono effettuare operazioni di trattamento dei dati personali: operazioni che devono essere svolte sotto la diretta autorità del Titolare, o Responsabile, attenendosi alle relative istruzioni impartite. Tale figura non è espressamente disciplinata dal Nuovo Regolamento Europeo, ma non essendoci alcuna incompatibilità con le disposizioni del Regolamento stesso, la legittimità della sua esistenza non è in discussione. La tua azienda ha già iniziato a conformarsi agli adempimenti del Nuovo Regolamento GDPR? Ha già previsto le figure di Titolare, Responsabile e Incaricato del trattamento, designando ciascuna di esse in modo corretto? Vuoi assicurarti di rispettare al 100% le nuove prescrizioni normative e metterti al sicuro da controlli e sanzioni? Scopri il nuovo Tool GoPrivacy: il Software Gestionale Privacy sviluppato insieme ai maggiori esperti Privacy in Europa per la gestione degli obblighi del GDPR.

Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.