I soggetti previsti dal GDPR

Si definiscono di seguito i soggetti di cui si sente parlare, quando si affronta il tema della privacy. Conoscerne le definizioni, seppur superficialmente, consente di comprendere meglio a cosa i riferiscono i consulenti e i vari interlocutori. Per ogni definizione segue un breve esempio che prende a riferimento il mondo associativo.

L'interessato è la persona fisica a cui si riferisce il dato personale o i dati personali, oggetto di trattamento. E interessato l'utente della mia associazione che mi fornisce i suoi dati anagrafici per partecipare a un corso promosso, organizzato e realizzato dell'associazione stessa.

Titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. L'Associazione che tratta i dati dei beneficiari della sua attività per erogare un determinato servizio, è titolare del trattamento.

Colui o coloro che trattano i dati sotto diretto controllo e sotto l’autorità del titolare del trattamento. Gli autorizzati:

• ricevono una nomina per iscritto,
• ricevono istruzioni per iscritto,
• sono appositamente formati.

I volontari di un'associazione che si occupano dei tesseramenti dei soci, sono autorizzati al trattamento e pertanto l'associazione - titolare del trattamento - è tenuta a provvedere agli adempimenti di cui sopra.

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Facciamo degli esempi:

• Il consulente del lavoro che tratta i dati della persona impiegata in segreteria da un'associazione, per predisporre la busta paga, è responsabile esterno del trattamento;
• l'associazione che per conto del Comune eroga un servizio sociale a persone fragili, potrebbe essere nominata responsabile esterna del trattamento.

Tra il titolare del trattamento e il responsabile esterno del trattamento, vi deve essere un accordo scritto che enunci fra le altre cose i dati personali trattati, le finalità per cui avviene il trattamento, le misure di sicurezza messe in atto.

Il responsabile della protezione dei dati è una figura introdotta dal GDPR, che alcuni titolari e alcuni responsabili del trattamento, sono obbligati a nominare. Nello specifico la nomina di un DPO è obbligatoria quando:

• il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
• le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; 
• le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati. 

Il DPO è tenuto a svolgere i seguenti compiti:

• informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai loro dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dal GDPR e da altre disposizioni relative alla protezione dei dati;
• sorvegliare l’osservanza del GDPR e delle altre norme relative alla protezione dei dati, le politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
• fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
• cooperare con l’autorità di controllo, fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, ed effettuare, se del caso, consultazioni relativamente a qualunque questione.

Il DPO può essere assunto come dipendente oppure essere un consulente esterno con contratto di servizio (mi è capitato anche di conoscere DPO che operano a titolo gratuito per la loro associazione): in ogni caso deve essere una persona adeguatamente qualificata.