Chi designa il titolare del trattamento dei dati personali

Rgpd

Il Responsabile della sicurezza avrà il compito di promuovere che il trattamento dei dati personali avvenga nel rispetto delle misure previste dal nuovo Regolamento e, in particolare, dovrà garantire che i dati siano trattati in conformità alle disposizioni del nuovo Regolamento:

Sarà frequente trovarlo in aziende o micro-imprese che non sono obbligate a dotarsi di un Responsabile della Protezione dei Dati ma che, tuttavia, svolgono attività che generano un numero rilevante di trattamenti di dati personali, anche se sono tra quelle classificate a “basso rischio”, che comprendono un numero molto elevato di Enti di ogni tipo.

Quale di queste basi di legittimazione prevale sulle altre?

Secondo il principio della responsabilità (responsabilità proattiva), il responsabile del trattamento deve garantire la conformità alle norme sulla protezione dei dati stabilendo le misure tecniche e organizzative necessarie, a seconda dei rischi e delle categorie di dati personali trattati, e dimostrare tale conformità.

È inoltre responsabilità del responsabile del trattamento garantire che i requisiti della legge sulla protezione dei dati siano rispettati durante l’intero ciclo di vita della protezione dei dati e che tali requisiti siano affrontati e mantenuti nella catena dei contratti di trattamento dei dati; se vi sono altri responsabili o incaricati del trattamento, il responsabile del trattamento deve garantire che essi si conformino alla legge attraverso un accordo o un contratto vincolante.

Se il responsabile del trattamento non rispetta i propri obblighi, ad esempio non implementando le misure di sicurezza del GDPR o non segnalando tempestivamente una violazione della sicurezza, può essere sanzionato:

Legge 1581 del 2012

Controllore e processoreUn birrificio ha molti dipendenti. Stipula un contratto con un’azienda di buste paga per il pagamento degli stipendi. Il birrificio comunica alla società di payroll quando i salari devono essere pagati, quando un dipendente lascia il lavoro o ha un aumento di stipendio, e fornisce tutti gli altri dettagli per la busta paga e il pagamento. La società di payroll fornisce il sistema informatico e archivia i dati dei dipendenti. Il birrificio è il responsabile del trattamento dei dati e la società di gestione delle paghe è l’incaricato del trattamento dei dati.Responsabili congiuntiLa vostra azienda/organizzazione offre servizi di babysitting tramite una piattaforma online. Allo stesso tempo la sua azienda/organizzazione ha un contratto con un’altra azienda che le consente di offrire servizi a valore aggiunto. Tali servizi includono la possibilità per i genitori non solo di scegliere la babysitter, ma anche di noleggiare giochi e DVD che la babysitter può portare con sé. Entrambe le aziende sono coinvolte nella configurazione tecnica del sito web. In questo caso, le due società hanno deciso di utilizzare la piattaforma per entrambi gli scopi (servizi di babysitting e noleggio di DVD/giochi) e molto spesso condivideranno i nomi dei clienti. Pertanto, le due società sono controllori congiunti perché non solo accettano di offrire la possibilità di “servizi combinati”, ma progettano e utilizzano anche una piattaforma comune.

L’interessato è

L’articolo 37 si applica sia ai responsabili del trattamento che agli incaricati del trattamento per quanto riguarda la nomina di un responsabile della protezione dei dati (RPD). A seconda di chi soddisfa i criteri per la designazione obbligatoria, in alcuni casi solo il responsabile del trattamento o solo l’incaricato del trattamento deve designare un DPO, mentre in altri casi sia il responsabile del trattamento che l’incaricato del trattamento devono designare i rispettivi DPO (che devono collaborare tra loro).

È importante notare che, anche se il responsabile del trattamento soddisfa i criteri per la nomina obbligatoria, il suo incaricato del trattamento non è necessariamente obbligato a nominare un DPO. Tuttavia, può essere una buona pratica.