Parte del nuovo Regolamento Generale Europeo sulla Protezione dei Dati (GDPR) include le definizioni dei diversi ruoli e le loro responsabilità. Prima di iniziare a comprendere i requisiti del GDPR o di iniziare a implementare il GDPR, è importante comprendere i ruoli chiave. In questo articolo, condividerò una panoramica dei principali ruoli e responsabilità del GDPR.
Il Controllore1)
Il controllore è la persona fisica o giuridica che determina le finalità e i mezzi del trattamento di dati personali (per esempio, quando tratta i dati personali di un dipendente, il datore di lavoro è considerato il controllore del trattamento). È possibile disporre di controllori di dati comuni in determinate circostanze. Ad esempio, quando una società opera in più paesi, ma le decisioni in merito ai processi vengono prese sia da entità centrali che locali, lo scenario si qualifica come controllore congiunto.
La responsabilità principale di un controllore è di essere responsabile, cioè di intraprendere azioni in linea con il GDPR, e di essere in grado di spiegare la conformità con il GDPR agli interessati e all’Autorità di Controllo, come e quando richiesto.
Vedi anche: Il GDPR dell’UE: controllori a confronto con processori – Quali sono le differenze?
Il Processore2)
Una persona fisica o giuridica che tratta i dati personali per conto del controllore (ad es. un call center che agisce per conto del proprio cliente) è considerata un processore. A volte, un processore è anche definito una parte terza.
La responsabilità principale del processore è garantire che le condizioni specificate nell’accordo sul trattamento dei dati firmato con il controllore siano sempre rispettate e che gli obblighi stabiliti nel GDPR siano rispettati.
Il Responsabile della Protezione dei Dati
Il Responsabile della Protezione dei Dati è un ruolo guida richiesto dal GDPR dell’UE. Questo ruolo esiste all’interno delle aziende che trattano i dati personali dei cittadini dell’UE. Un Responsabile della Protezione dei Dati è responsabile della supervisione dell’approccio alla protezione dei dati, della strategia e della sua implementazione. In breve, il Responsabile della Protezione dei Dati è responsabile della conformità al GDPR. È possibile che alcune aziende scelgano di non nominare un Responsabile della Protezione dei Dati, ma di assegnare la responsabilità a una persona esistente all’interno dell’organizzazione.
Normalmente, la scelta di nominare o meno un Responsabile della Protezione dei Dati, si basa sulla scala dei dati personali trattati in un’azienda. Ad esempio, una piccola azienda che offre servizi analitici su cartelle cliniche deve avere un Responsabile della Protezione dei Dati, perché tratta i dati personali, mentre una società manifatturiera di medie dimensioni può scegliere di non avere un Responsabile della Protezione dei Dati, in quanto gli unici dati personali trattati sono quelli del personale e dei fornitori.
La responsabilità principale del Responsabile della Protezione dei Dati consiste nell’assicurare la conformità al GDPR e consigliare la direzione e il personale dell’azienda in merito alle giuste misure da adottare.
Vedi anche: Il ruolo del Responsabile della Protezione dei Dati alla luce del Regolamento Generale sulla Protezione dei Dati.
Autorità di Controllo
Un’Autorità di controllo è un’autorità pubblica in un paese dell’UE responsabile del controllo della conformità con il GDPR. Un paese dell’UE all’interno dell’Unione Europea viene indicato anche come uno stato membro. Un’Autorità di controllo è in genere una Commissione per la Privacy o un ente equivalente in uno stato membro. Potrebbe avere un nome diverso in ogni paese. Ad esempio, nel Regno Unito è chiamato Ufficio del Commissario all’Informazione. Vedi qui un elenco di Autorità di Controllo in tutti gli stati membri dell’UE.
Il ruolo chiave dell’Autorità di controllo è di fornire consulenza alle società in merito al GDPR, condurre audit sulla conformità al GDPR, gestire i reclami da parte degli interessati ed emettere sanzioni quando le aziende non rispettano deliberatamente il GDPR.
Un’Autorità di Controllo è indicata da alcuni esperti anche come Autorità per la Protezione dei Dati. Quindi, bisogna ricordare che entrambi i termini significano la stessa cosa.
Mentre un’Autorità di Controllo è responsabile all’interno di un paese, le aziende che operano in più paesi possono scegliere di nominare un’Autorità di Controllo Capofila ai fini della segnalazione. Ad esempio, la società dovrebbe registrare il nome del proprio Responsabile della Protezione dei Dati con l’Autorità di Controllo Capofila. Questa potrebbe essere una grande semplificazione per le aziende che operano in più paesi e scelgono di non nominare un Responsabile della Protezione dei Dati per ciascun paese in cui operano.
Vedi anche: The obligations of controllers towards Data Protection Authorities according to GDPR.
Conclusione
Per concludere, per capire e implementare correttamente il GDPR, è necessario comprendere i ruoli chiave come da GDPR e decidere quali ruoli siano rilevanti nel contesto della propria azienda.
Per leggere il regolamento completo, clicca qui: Testo Completo del GDPR dell’UE.
1) Si utilizza qui e di seguito il termine non ufficiale “Controllore” al posto del termine ufficiale “Titolare del trattamento” come riportato nel testo dell’UE in quanto più intuitivo
2) Si utilizza qui e di seguito il termine non ufficiale “Processore” al posto del termine ufficiale “Responsabile del trattamento” come riportato nel testo dell’UE in quanto più intuitivo