PRIVACY (regolamento UE 2016-679 ) – I SOGGETTI

I dati inseriti in questa pagina sono una elaborazione delle pagine pubblicate su https://www.garanteprivacy.it/regolamentoue

Il primo approccio alla norma prevede di comprendere la terminologia utilizzata all’interno al regolamento per rendere più chiari e univoci i concetti espressi. In particolare in questa pagina vorrei chiarire chi sono i soggetti presenti nel regolamento.

PRIVACY gli attori

IL TITOLARE

Il Titolare del trattamento (data controller) è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4. par. 1, n. 7 GDPR).

In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide “perché” e “come” devono essere trattati i dati.
Il titolare del trattamento non è, quindi, chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento.

E’ possibile che coesistano più titolari del trattamento (contitolari) che decidono congiuntamente di trattare i dati per una finalità comune. In tale caso la normativa impone ai contitolari di definire specificamente, con un atto giuridicamente valido, il rispettivo ambito di responsabilità e i compiti. Gli interessati, però, possono rivolgersi indifferentemente ad uno qualsiasi dei contitolari.

Il titolare (o i contitolari) rispondono in solido dei danni subiti dall’interessato.

Il titolare e il responsabile saranno esonerati da responsabilità se dimostrano che:
– l’evento dannoso non è imputabile alla loro condotta ma è dipeso da una causa esterna alla loro sfera di controllo;
– o, in alternativa, di aver adottato tutte le misure prevedibilmente idonee al fine di evitare il danno stesso.

 

L’INTERESSATO

Per interessato si intende la persona fisica soggetto di diritto, cioè colui che ha diritto che i propri dati personali siano raccolti ed usati secondo la normativa. Attenzione quindi, non sono persone giuridiche, aziende o società, ma persone fisiche.

attenzioneQuesto regolamento poi non si applica al trattamento di dati personali effettuato da una
persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale.
Altro caso in cui il regolamento non si applica è quando i dati in questione non sono riconducibili alla persona specifica perché sono state adottate misure per non rendere questa persona identificata o identificabile.

 

RPD

Il responsabile del trattamento (data processor) è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento.

Si tratta di un soggetto, distinto dal titolare, che deve essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato.

Il responsabile del trattamento, a differenza del titolare:

  • deve avere specifiche conoscenze e competenze  per cui possa essere in grado di attuare le misure tecniche e organizzative per soddisfare i requisiti stabiliti dal regolamento europeo.
  • deve garantire una particolare affidabilità, un requisito fondato su aspetti etici e deontologici (ad esempio, l’assenza di condanne penali).
  • deve disporre delle risorse tecniche adeguate per l’attuazione degli obblighi derivanti dal contratto di designazione e dalle norme in materia. Se è soggetto interno le risorse saranno a carico del titolare.
  • è preferibile che sia esterno all’azienda, per non dipendere direttamente dal titolare, ma la legislazione italiana prevede anche che il responsabile possa essere nominato tra i dipendenti dell’azienda, quindi interno all’organizzazione aziendale
  • deve operare secondo il principio della trasparenza
  • ha l’obbligo di garantire la sicurezza dei dati. Egli deve adottare tutte le misure tecniche ed organizzative tenendo conto dello stato dell’arte e dei costi di attuazione per
  • deve garantire la riservatezza dei dati, vincolando i dipendenti.
  • deve informare il titolare delle violazioni avvenute
  • deve occuparsi della cancellazione dei dati alla fine del trattamento
  • ha l’obbligo di avvisare, assistere e consigliare il titolare. deve quindi consentire attività di revisione, comprese le ispezioni (o audit), realizzate dal titolare del trattamento, dovrà avvisare il titolare se ritiene che un’istruzione ricevuta viola qualche norma in materia, dovrà prestare assistenza al titolare per l’evasione delle richieste degli interessati, dovrà avvisare il titolare in caso di violazioni dei dati, e assisterlo nella conduzione di una valutazione di impatto

Il responsabile risponde per il danno causato dal trattamento solo in caso:

  • di non corretto adempimento degli obblighi previsti dalle norme in capo al responsabile stesso
  • se ha agito in modo difforme rispetto alla istruzioni del titolare del trattamento.

 

DESTINATARI

I destinatari sono, tutti i soggetti che ricevono dati personali dal titolare, siano essi interni od esterni. I destinatari possono ricevere tali dati per eseguire trattamenti per conto del titolare, o per conseguire proprie specifiche finalità.

Ovviamente i destinatari devono essere definiti in fase di raccolta dei dati ed indicati nell’informativa rivolta all’interessato, anche solo per categorie.

Se il destinatario risiede al di fuori del territorio dell’Unione europea, occorre che il titolare verifichi l’esistenza di specifiche garanzie per la protezione dei dati, prima di trasferire i dati.

 

GARANTE

Il Garante per la protezione dei dati personali è un organo collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un mandato di sette anni non rinnovabile.

Il Garante si occupa di tutti gli ambiti, pubblici e privati, nei quali occorre assicurare il corretto trattamento dei dati e il rispetto dei diritti delle persone connessi all’utilizzo delle informazioni personali.

IL GARANTE SI OCCUPA, TRA L’ALTRO, DI:

  • controllare che i trattamenti di dati personali siano conformi a leggi e regolamenti e, eventualmente, prescrivere ai titolari o ai responsabili dei trattamenti le misure da adottare per svolgere correttamente il trattamento;
  • esaminare reclami;
  • vietare in tutto od in parte, ovvero disporre il blocco del trattamento di dati personali che per la loro natura, per le modalità o per gli effetti del loro trattamento possano rappresentare un rilevante pregiudizio per l’interessato;
  • adottare i provvedimenti previsti dalla normativa in materia di dati personali;
  • segnalare, quando ritenuto opportuno, al Governo e al Parlamento la necessità di adottare provvedimenti normativi specifici in ambito economico e sociale;
  • partecipare alla discussione su iniziative normative con audizioni presso il Parlamento;
  • formulare pareri;
  • predisporre una relazione annuale sull’attività svolta e sullo stato di attuazione della normativa sulla privacy da trasmettere al Parlamento e al Governo;
  • partecipare alle attività dell’Unione europea ed internazionali di settore, anche in funzione di controllo e assistenza relativamente ai sistemi di informazione Europol, Schengen, VIS, e altri;
  • curare l’informazione e la sensibilizzazione dei cittadini in materia di trattamento dei dati personali, nonché sulle  misure di sicurezza dei dati;
  • coinvolgere i cittadini e tutti i soggetti interessati con consultazioni pubbliche dei cui risultati si tiene conto per la predisposizione di provvedimenti a carattere generale.

 

 

Leave a Reply