Il GDPR riconosce due figure, il titolare trattamento dati personali (controller) e il responsabile trattamento dati personali (processor), tra le tipologie di utenti che hanno accesso e gestiscono i dati utente.
Dopo aver visto cosa significhi trattare i dati personali nel precedente articolo sul GDPR, in questo post ti presento i doveri e le responsabilità di entrambe le figure.
Faremo riferimento al testo originale così da avere sempre una fonte ufficiale e attendibile da consultare in ogni momento.
Come sempre, ti riporto questa distinzione che è molto utile ricordare.
Distinguiamo tre entità giuridiche:
- Il Consiglio d’Europa (CdE), noto anche come Council of Europe (CoE) è un’organizzazione internazionale che comprende 47 stati in Europa, istituita per promuovere la democrazia, e proteggere i diritti umani e lo Stato di diritto in Europa. Ha prodotto una regolamentazione simile al GDPR ,e chiamata Modernised Convention 108.
- Il Consiglio Europeo, noto anche come European Council è un organismo collegiale che definisce le direzioni politiche comunitarie e le priorità dell’Unione Europea.
- L’Unione Europea, o European Union (EU) è l’organizzazione internazionale politica ed economica con carattere sovranazionale. Attualmente conta 27 stati che hanno parzialmente delegato la propria sovranità su specifiche questione di interesse comunitario. Tutti i paesi dell’EU hanno prima aderito al Consiglio d’Europa.
Di nostro interesse sono poi:
- Court of Justice of the European Union (CJEU), basta in Lussemburgo, si assicura che le leggi europee (EU Law dora in anzi) siano interpretate e rispettate in modo analogo in ogni paese dell’unione.
- International Court of Justice (ICJ) è l’organismo giuridico delle Nazioni Unite (United Nation) di base all’Aia. (The Hague). Gestisce le dispute tra paesi, con il suo operato a primaria fonte della Legge Internazionale.
Questi termini torneranno a più riprese, dunque è bene averli sempre sotto mano.
Ciò detto, procediamo!
GDPR: titolare e responsabile trattamento dati personali
La più importante conseguenza nell’adempiere il ruolo di titolare (controller), o responsabile (processor), del trattamento dati personali è evidentemente la responsabilità legale associata.
Nel settore privato, individuiamo generalmente persone fisiche o giuridiche (natural or legal person)
Nel settore pubblico, ad assumersi queste responsabilità sono sovente delle autorità (authority).
Esiste una distinzione significativa da titolare e responsabile trattamento dati personali che è fondamentale tenere a mente:
- Il titolare del trattamento (data controller) è una persona fisica o giuridica che determina le finalità e i mezzi (purposes and means) del trattamento di dati personali. (Articolo 26)
- Il responsabile del trattamento (data processor) è una persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento (Articolo 28)
Sulla base di questa distinzione è il titolare del trattamento che deve esercitare il controllo sul trattamento, assumendosi dunque la responsabilità legale (legal liability).
Responsabili Trattamento dati personali
I responsabili del trattamento hanno tuttavia l’obbligo di conformarsi a molti dei requisiti applicati ai titolari del trattamento.
Ad esempio, ogni responsabile del trattamento deve conservare un registro di tutte le categorie di attività relative al trattamento (Articolo 30) svolte per conto di un titolare del trattamento, che deve contenere:
- Il nome e i dati di contatto del responsabile del trattamento; di ogni titolare del trattamento per conto del quale agisce il responsabile; del rappresentante del titolare o del responsabile; del responsabile della protezione dati ove necessario (DPO, Data Protection Officer).
- le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento
- i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa la loro identificazione e l’eventuale documentazione delle garanzie adeguate
- una descrizione generale delle misure di sicurezza tecniche e organizzative adottate (con riferimento all‘Articolo 32, paragrafo 1).
Il responsabile ha anche il dovere di notificare eventuali violazione dei dati personali all’autorità di controllo, entro 72 ore. (Articolo 33)
In Italia, è il Garante della Privacy.
È bene considerare che questi obblighi non si applicano al trattamento effettuato da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico (Articolo 2, paragrafo 2)
Attività che riguardano ad esempio la corrispondenza (i.e. Invio email personali) e gli indirizzari, o l’uso dei social network e attività online senza una connessione con un‘attività commerciale o professionale.
Tieni comunque presente che il GDPR si applica ai titolari o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico.
Cosa significa?
Semplicemente, che GMAIL deve adempiere al GDPR, mentre te che lo usi per attività personali no. (Recital 18)
Per il momento è tutto.
Per aspera, ad astra.
Un caldo abbraccio, Andrea
No Comment