Il Regolamento (UE) 2016/679, noto come Regolamento Generale sulla Protezione dei Dati (GDPR), stabilisce norme precise relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Per assicurare un elevato e coerente livello di tutela in tutta l’Unione, il Regolamento definisce in modo dettagliato i ruoli e le responsabilità degli attori coinvolti nel trattamento dei dati. Le tre figure principali in questo schema sono il Titolare del trattamento, il Responsabile del trattamento e le persone autorizzate al trattamento.

1. Il Titolare del Trattamento (Controller)

Il Titolare del trattamento è definito come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, individualmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali. Qualora le finalità e i mezzi siano stabiliti dal diritto dell’Unione o degli Stati membri, tale diritto può stabilire il Titolare del trattamento o i criteri per la sua designazione.

Responsabilità e Principi Cardine

La responsabilità generale per qualsiasi trattamento di dati personali ricade sul Titolare, sia che lo esegua direttamente sia che lo faccia eseguire da altri per suo conto. Il principio fondamentale che governa l’operato del Titolare è l’Accountability (responsabilizzazione): il Titolare è competente per il rispetto dei principi di trattamento e deve essere in grado di comprovarlo.

Per adempiere a tale responsabilità, il Titolare è tenuto a mettere in atto misure tecniche e organizzative adeguate ed efficaci. Tali misure dovrebbero tenere conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

Tra gli obblighi più significativi del Titolare rientrano:

• Protezione dei dati fin dalla progettazione e per impostazione predefinita (Data Protection by Design and by Default): il Titolare deve attuare misure tecniche e organizzative adeguate per implementare in modo efficace i principi di protezione dei dati, come la minimizzazione, e garantire che, per impostazione predefinita, siano trattati solo i dati personali necessari per ogni specifica finalità.
• Registro delle attività di trattamento: Il Titolare, o il suo rappresentante, deve tenere un registro delle attività di trattamento svolte sotto la sua responsabilità, che includa informazioni come le finalità del trattamento, le categorie di dati personali e l’identità e i dati di contatto del Titolare stesso. Le imprese o organizzazioni con meno di 250 dipendenti sono esentate da tale obbligo, a meno che il trattamento che effettuano non sia occasionale, non includa categorie particolari di dati o non presenti un rischio per i diritti e le libertà dell’interessato.
• Gestione delle violazioni (Data Breach): In caso di violazione dei dati personali, il Titolare deve notificarla all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che non sia improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche. Se la violazione è suscettibile di presentare un rischio elevato, deve comunicarla anche all’interessato senza ingiustificato ritardo.

Quando due o più titolari determinano congiuntamente le finalità e i mezzi del trattamento, sono considerati Contitolari del trattamento e devono definire in modo trasparente, tramite un accordo interno, le rispettive responsabilità.

2. Il Responsabile del Trattamento (Processor)

Il Responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento.

Rapporto contrattuale e garanzie

Il Titolare del trattamento deve ricorrere unicamente a Responsabili del trattamento che offrano garanzie sufficienti, in termini di conoscenze specialistiche, affidabilità e risorse, per soddisfare i requisiti del Regolamento. L’esecuzione dei trattamenti da parte di un Responsabile deve essere disciplinata da un contratto o altro atto giuridico che lo vincoli al Titolare e che ne stipuli la materia, la durata, la natura, le finalità, il tipo di dati e le categorie di interessati.

Le istruzioni sono centrali nel rapporto: il Responsabile deve trattare i dati personali soltanto su istruzione documentata del Titolare, salvo che non sia richiesto dal diritto dell’Unione o nazionale. Se un’istruzione viola il Regolamento, il Responsabile del trattamento è tenuto a informare immediatamente il Titolare.

Obblighi del Responsabile:

• Sicurezza: Il Responsabile deve adottare tutte le misure tecniche e organizzative adeguate richieste ai sensi dell’articolo 32 per garantire un livello di sicurezza adeguato al rischio.
• Sub-responsabili: Il Responsabile non può ricorrere a un altro responsabile (sub-responsabile) senza la previa autorizzazione scritta, specifica o generale, del Titolare. In caso di sub-responsabili, il Responsabile iniziale conserva l’intera responsabilità nei confronti del Titolare.
• Assistenza al Titolare: Deve assistere il Titolare del trattamento nell’adempimento degli obblighi relativi alla sicurezza (Articoli 32-36) e nel dare seguito alle richieste di esercizio dei diritti degli interessati.
• Notifica di violazione: Deve informare il Titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione dei dati personali.
• Fine del trattamento: A conclusione della prestazione dei servizi, il Responsabile deve, a scelta del Titolare, cancellare o restituire tutti i dati personali e cancellare le copie esistenti, a meno che la legge non ne prescriva la conservazione.

È importante notare che se un Responsabile del trattamento viola il Regolamento e determina le finalità e i mezzi del trattamento, esso è considerato un Titolare del trattamento.

3. Le Persone Autorizzate al Trattamento (Soggetti Autorizzati)

Sebbene non abbiano una definizione autonoma nel Regolamento come Titolare o Responsabile, la loro funzione è delineata nella struttura della catena di responsabilità. Le persone autorizzate al trattamento sono coloro che agiscono sotto l’autorità diretta del Titolare o del Responsabile.

Queste persone (solitamente il personale dipendente) che hanno accesso ai dati personali non possono trattarli se non sono state istruite in tal senso dal Titolare del trattamento o dal Responsabile del trattamento, a meno che non siano tenute a farlo per legge.

Il Titolare o il Responsabile del trattamento deve garantire che tali persone abbiano assunto un impegno alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza. In sostanza, i Soggetti Autorizzati rappresentano l’anello esecutivo della catena, operando in base alle indicazioni definite dal Titolare e gestite dal Responsabile (se presente).

In sintesi, il Regolamento stabilisce un chiaro percorso di responsabilità: il Titolare definisce cosa e come trattare (finalità e mezzi), il Responsabile esegue il trattamento per conto del Titolare, e le persone autorizzate eseguono materialmente il trattamento sotto l’autorità di uno dei due soggetti precedenti, agendo sempre su istruzione e in riservatezza.