Per gestire correttamente i dati personali, come da normativa privacy, è necessario individuare quali siano le figure che eseguono il trattamento, quali funzioni siano chiamate a svolgere e come disciplinare i rapporti tra le stesse. Tali indicazioni sono contenute nel Regolamento UE 679/2016 e nel D.lgs 196/2003 (c.d. Codice Privacy, recentemente modificato a seguito della entrata in vigore della citata normativa europea).
Trattamento dati personali nella normativa privacy.
Premesso che la persona fisica alla quale si riferiscono i dati personali oggetto di trattamento (ad esempio, in ambito aziendale, il cliente o il lavoratore), è denominata dalla normativa privacy vigente come soggetto “Interessato” vediamo ora cosa si intenda per “trattamento” e quali sono le figure che operano dal punto di vista aziendale.
L’Art 4 del Regolamento UE 2016/679 (GDPR) definisce “trattamento” qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Quali sono i soggetti della normativa privacy?
Lo stesso Art 4 del Regolamento UE 2016/679 (GDPR) – qui in pdf l’intero Regolamento generale sulla protezione dei dati – definisce come soggetti della normativa privacy:
- Titolare del trattamento: la persona fisica o giuridica (ma anche l’autorità pubblica, il servizio o altro organismo) che determina le finalità e i mezzi del trattamento di dati personali (Titolare è, ad esempio, l’azienda o il professionista che tratta i dati personali riferibili al cliente-interessato o al lavoratore-interessato).
- Responsabile del trattamento: il soggetto che tratta i dati per conto del Titolare del trattamento (ad es. un professionista che, nell’ambito dei servizi forniti, tratta per incarico del Titolare i dati personali del predetto cliente). Secondo l’interpretazione prevalente della normativa, il Responsabile è un soggetto esterno all’azienda, incaricato dal Titolare con uno specifico contratto.
- La normativa europea non definisce espressamente la figura del soggetto interno incaricato, ma si riferisce indirettamente a persone “autorizzate” cui il Titolare o il Responsabile dovranno fornire le indicazioni necessarie alla corretta gestione dei dati personali. Il soggetto “terzo” viene dunque individuato, per esclusione, come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile. Infine, deve intendersi come “destinatario” la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.
I compiti del titolare del trattamento dati nella normativa privacy.
Il Titolare è dunque tenuto ad informare il soggetto Interessato in ordine alle modalità di trattamento dei dati (compresi, ad esempio, le finalità e la base giuridica del trattamento, eventuali destinatari a cui sono comunicati i dati, il periodo di conservazione degli stessi, etc) e, ove ricorrano determinate condizioni, a richiederne il consenso. Rispetto ai soggetti che per suo conto eseguono il trattamento (ad es. il responsabile del trattamento o i soggetti autorizzati), il Titolare è inoltre tenuto a disciplinare, mediante specifico incarico, il rapporto, fornendo loro tutte le indicazioni necessarie per una corretta e sicura gestione dei dati personali.
Se vuoi saperne di più sugli adempimenti privacy e GDPR per la tua azienda o per il tuo sito web, clicca qui e contattaci.