Blog.

GDPR: titolare e responsabile trattamento dati personali

Autore
Andrea Provino
Data
Tempo di lettura
4 minuti
Categoria
Data Science, GDPR Compliant
responsabile-trattamento-dati-personali-titolare-trattamento-dati-personali-gdpr-guida-italia-consulenza

Il GDPR riconosce due figure, il titolare trattamento dati personali (controller) e il responsabile trattamento dati personali (processor), tra le tipologie di utenti che hanno accesso e gestiscono i dati utente.

Dopo aver visto cosa significhi trattare i dati personali nel precedente articolo sul GDPR, in questo post ti presento i doveri e le responsabilità di entrambe le figure.

Faremo riferimento al testo originale così da avere sempre una fonte ufficiale e attendibile da consultare in ogni momento.

Come sempre, ti riporto questa distinzione che è molto utile ricordare.

Distinguiamo tre entità giuridiche:

  • Il Consiglio d’Europa (CdE), noto anche come Council of Europe (CoE) è un’organizzazione internazionale che comprende 47 stati in Europa, istituita per promuovere la democrazia, e proteggere i diritti umani e lo Stato di diritto in Europa. Ha prodotto una regolamentazione simile al GDPR ,e chiamata Modernised Convention 108.
  • Il Consiglio Europeo, noto anche come European Council è un organismo collegiale che definisce le direzioni politiche comunitarie e le priorità dell’Unione Europea.
  • L’Unione Europea, o European Union (EU) è l’organizzazione internazionale politica ed economica con carattere sovranazionale. Attualmente conta 27 stati che hanno parzialmente delegato la propria sovranità su specifiche questione di interesse comunitario. Tutti i paesi dell’EU hanno prima aderito al Consiglio d’Europa.

Di nostro interesse sono poi:

  • Court of Justice of the European Union (CJEU), basta in Lussemburgo, si assicura che le leggi europee (EU Law dora in anzi) siano interpretate e rispettate in modo analogo in ogni paese dell’unione.
  • International Court of Justice (ICJ) è l’organismo giuridico delle Nazioni Unite (United Nation) di base all’Aia. (The Hague). Gestisce le dispute tra paesi, con il suo operato a primaria fonte della Legge Internazionale.

Questi termini torneranno a più riprese, dunque è bene averli sempre sotto mano.

Ciò detto, procediamo!

GDPR: titolare e responsabile trattamento dati personali

La più importante conseguenza nell’adempiere il ruolo di titolare (controller), o responsabile (processor), del trattamento dati personali è evidentemente la responsabilità legale associata.

Nel settore privato, individuiamo generalmente persone fisiche o giuridiche (natural or legal person)

Nel settore pubblico, ad assumersi queste responsabilità sono sovente delle autorità (authority).

Esiste una distinzione significativa da titolare e responsabile trattamento dati personali che è fondamentale tenere a mente:

  • Il titolare del trattamento (data controller) è una persona fisica o giuridica che determina le finalità e i mezzi (purposes and means) del trattamento di dati personali. (Articolo 26)
  • Il responsabile del trattamento (data processor) è una persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento (Articolo 28)

Sulla base di questa distinzione è il titolare del trattamento che deve esercitare il controllo sul trattamento, assumendosi dunque la responsabilità legale (legal liability).

Responsabili Trattamento dati personali

I responsabili del trattamento hanno tuttavia l’obbligo di conformarsi a molti dei requisiti applicati ai titolari del trattamento.

Ad esempio, ogni responsabile del trattamento deve conservare un registro di tutte le categorie di attività relative al trattamento (Articolo 30) svolte per conto di un titolare del trattamento, che deve contenere:

  • Il nome e i dati di contatto del responsabile del trattamento; di ogni titolare del trattamento per conto del quale agisce il responsabile; del rappresentante del titolare o del responsabile; del responsabile della protezione dati ove necessario (DPO, Data Protection Officer).
  • le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento
  • i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa la loro identificazione e l’eventuale documentazione delle garanzie adeguate
  • una descrizione generale delle misure di sicurezza tecniche e organizzative adottate (con riferimento all‘Articolo 32, paragrafo 1).

Il responsabile ha anche il dovere di notificare eventuali violazione dei dati personali all’autorità di controllo, entro 72 ore. (Articolo 33)

In Italia, è il Garante della Privacy.

È bene considerare che questi obblighi non si applicano al trattamento effettuato da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico (Articolo 2, paragrafo 2)

Attività che riguardano ad esempio la corrispondenza (i.e. Invio email personali) e gli indirizzari, o l’uso dei social network e attività online senza una connessione con un‘attività commerciale o professionale.

Tieni comunque presente che il GDPR si applica ai titolari o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico.

Cosa significa?

Semplicemente, che GMAIL deve adempiere al GDPR, mentre te che lo usi per attività personali no. (Recital 18)

Per il momento è tutto.

Per aspera, ad astra.

Un caldo abbraccio, Andrea

Taggeddata scienceGDPRprivacy

Ultimi post

Patricia Merkle Trie

Il Practical Algorithm To Retrieve Information Coded In Alphanumeric Merkle Trie, o Patricia Merkle Trie è una struttura dati chiave-valore usatada Ethereum e particolarmente efficiente per il salvataggio e la verifica dell’integrità dell’informazione. In questo post ne studieremo le caratteristiche. Prima di procedere, ci conviene ripassare l’introduzione al Merkle Tree nella quale abbiamo chiarito il […]

Andrea Provino
ethereum-patricia-merkle-tree
Tree Data Structure: cos’è un Merkle Tree

Un Merkle Tree è una struttura dati efficiente per verificare che un dato appartenga a un insieme esteso di elementi. È comunemente impiegato nelle Peer to Peer network in cui la generazione efficiente di prove (proof) contribuisce alla scalabilità della rete. Capire i vantaggi di questa struttura ci tornerà utile nel nostro percorso di esplorazione […]

Andrea Provino
merkle-tree-cover
UTXO: come funziona il modello Unspent Transaction Outputs

Per tenere traccia dei bilanci utente, la blockchain di Bitcoin sfrutta un modello di contabilità definito UTXO o Unspent Transaction Outputs. In questo articolo ne esaminiamo le caratteristiche. Ogni blockchain è dotata di un sistema di contabilità, un meccanismo attraverso cui tenere traccia dei bilanci di ciascun utente. I due grandi modelli di riferimento nel […]

Andrea Provino
bitcoin-utxo
Cos’è Ethereum

Possiamo definire Ethereum come una macchina a stati distribuita che traccia le transizioni di un archivio dati general-purpose (i.e. una memoria in grado di registrare qualsiasi dato esprimibile come coppia di chiave e valore o key-value) all’interno della Ethereum Blockchain. È arrivato il momento di esplorare uno dei progetti tecnologici più innovativi e interessanti degli […]

Andrea Provino
ethereum