GDPR: chi sono e che funzioni svolgono titolare, responsabile, interessato e DPO

La definizione dei ruoli tra le parti coinvolte nel trattamento rappresenta una delle tematiche centrali della protezione dei dati personali.
Nell’ecosistema normativo incardinato sul Regolamento (UE) 2016/679 (“GDPR”), la tradizionale importanza di tale questione ha assunto una rilevanza ancor maggiore.

Ciò in considerazione, da un lato, del principio di responsabilizzazione (accountability) del titolare che permea l’impianto del GDPR, nonché, dall’altro lato, delle questioni connesse all’introduzione di nuove figure, quali il responsabile della protezione dei dati (c.d. “DPO”), e al rapporto con figure precedentemente previste dalla normativa nazionale, quali gli incaricati e gli amministratori di sistema.

In questo contesto, si rende essenziale, per le organizzazioni che effettuano trattamenti di dati personali, definire un modello organizzativo e di governance in grado di assicurare, anche sotto il profilo delle misure organizzative, il rispetto della normativa in materia di protezione dei dati personali.

In primis, viene in considerazione la distinzione tra titolare del trattamento e responsabile del trattamento.
Entrambe le figure pongono questioni significative, quali l’esistenza di rapporti tra autonomi titolari, rapporti di contitolarità o catene di sub-responsabili.
La corretta individuazione di tali ruoli, che in alcuni casi ha una soluzione relativamente semplice, si presenta in altri casi come complessa, rendendo necessario un esame approfondito delle circostanze concrete del trattamento, circostanze che in ogni caso potrebbero rendere plausibile più di una soluzione.
Su tali temi si sono soffermati sia il WP29 (Opinion no. 1/2020 on the concepts of controller and processor), sia, in tempi più recenti, l’EDPS (Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725 del 7 novembre 2019) e l’EPDB (Guidelines 07/2020 on the concepts of controller and processor in the GDPR).

Per quanto concerne la proiezione del principio di accountability nell’organizzazione interna del titolare, superate formalmente le figure del responsabile interno e dell’incaricato del trattamento, rimane cruciale procedere a una ripartizione chiara dei vari ruoli, profili autorizzatori e responsabilità dei soggetti che intervengono lungo tutto il ciclo di vita e gestione del dato personale.
Tale ripartizione dovrebbe trovare espressione in un modello organizzativo che tenga conto delle peculiarità dell’organizzazione del titolare, delle attività di business (e quindi di trattamento) svolte, nonché dell’eventuale sistema di deleghe definito.

Sotto questo profilo, gioca un ruolo primario la figura del DPO che – per quanto sia obbligatoria soltanto in specifiche ipotesi contemplate dalla normativa (ad esempio, in presenza di attività di trattamento di dati personali su larga scala) – costituisce un presidio fondamentale, dotato di caratteristiche di competenza professionale e indipendenza, a salvaguardia della liceità e della correttezza dei trattamenti svolti dalle organizzazioni, anche sotto il profilo del rispetto dei principi di privacy by design e privacy by default.
Ciò anche nei casi in cui la presenza del DPO non sia strettamente obbligatoria.

La designazione del DPO e il concreto esercizio dei compiti ad esso riservati dalla normativa pone, nell’esperienza pratica dei soggetti privati e pubblici che effettuano attività di trattamento, alcuni interrogativi in relazione, ad esempio, alla scelta tra un soggetto interno o uno esterno rispetto all’organizzazione del titolare, alla sua natura collegiale o individuale, nonché a profili di conflitto di interessi e al grado di coinvolgimento rispetto alle attività di trattamento.

In conclusione, il corretto inquadramento dei singoli ruoli privacy – ancorché possa spesso sembrare di agevole risoluzione – presenta delle specificità e complessità che potrebbero prestare il fianco ad incertezze applicative le quali, se non correttamente affrontate, rischiano di minare alla base qualsiasi valutazione di compliance.

Condividi

Condividi

Interessato alla
Masterclass?

Iscriviti

Potrebbe interessarti anche