GDPR aziende: quali figure con quali ruoli?
Il GDPR, detto anche regolamento generale sulla protezione dei dati o General Data Protection Regulation, è, com’è noto, un regolamento dell’Unione europea in materia di trattamento dei dati personali e di privacy, adottato il 27 aprile 2016, pubblicato sulla Gazzetta ufficiale dell’Unione europea il 4 maggio 2016 ed entrato in vigore il 24 maggio dello stesso anno ed operativo a partire dal 25 maggio 2018.
In tema di GDPR aziende, anche queste devono sottostare alla nuova norma (che, di fatto, abroga la direttiva 95/46/CE, ossia il regolamento generale sulla protezione dei dati), mettendo in atto tutte le procedure per ottemperare a una serie di regole sulla protezione dei dati che interessano tutte le imprese che operano nell’UE. Tra queste ottemperanze vi sono anche quelle in materia di personale, figure di riferimento che, per quanto riguarda il GDPR nelle aziende, hanno il compito di monitorare la corretta attuazione della normativa, intervenendo laddove necessario.
In questo articolo vediamo insieme chi sono queste figure e quali sono necessarie quando si parla del tema del GDPR per le aziende.
GDPR aziende: l’interessato
Partiamo dal primo attore in gioco in tema di GDPR aziende, ossia quello che la norma chiama “interessato del trattamento”. E’ colui (persona fisica) del quale vanno tutelati i dati personali, a cui lo stesso GDPR conferisce necessari diritti e garanzie: il diritto a essere informati, ossia la possibilità di sapere in modo chiaro chi e come tratta i suoi dati, il diritto di accedere ai propri dati, conoscendo anche le finalità per cui questi vengono trattati, il diritto alla rettifica, grazie al quale l’interessato può chiedere modifiche o aggiornamenti dei propri dati, il diritto di revoca, il diritto di opporsi al trattamento, il diritto alla cancellazione, il diritto all’oblio e il diritto alla portabilità dei dati, che conferisce all’Interessato la possibilità di ricevere i propri dati personali o chiederne il trasferimento tra un Titolare e l’altro.
GDPR aziende: il titolare (e i contitolari)
Il titolare è detto anche controller ed è quella persona, fisica o giuridica, che determina le finalità e i mezzi del trattamento dei dati personali. Questo soggetto ha la responsabilità di decidere le modalità con cui uniformarsi al GDPR e, pertanto, deve poter dimostrare la conformità al GDPR e le motivazioni delle scelte effettuate, attuando misure tecniche e organizzative per garantire la stessa conformità.
Va da sé che i contitolari sono due o più soggetti che si trovano ad agire assieme come titolari del trattamento.
GDPR aziende: il responsabile del trattamento
Si tratta, ancora una volta, di una persona, fisica o giuridica, che, però, tratta i dati personali per conto del titolare del trattamento. Data la rilevanza di questa figura, che ha un ruolo proattivo verso il titolare, i trattamenti messi in atto dal responsabile sono tassativamente disciplinati da un contratto (o altro atto giuridico) che lo vincoli al titolare.
Devono essere determinati contrattualmente:
GDPR aziende: Il DPO (Data Protection Officer)
Non si tratta, per la verità, di una figura obbligatoria, se non in alcuni, particolari casi: quando il trattamento dei dati è svolto da un organismo pubblico, quando l’attività principale del titolare o del responsabile consiste nel monitoraggio regolare e sistematico degli interessati su larga scala e quando il trattamento su larga scala è relativo a categorie particolari di dati o di dati relativi a condanne penali e reati.