Le figure interessate al trattamento

  1. Il Titolare
  2. Il Responsabile
  3. L’Incaricato
  4. L’interessato

IL TITOLARE

Secondo l’art. 4 lett. f), per Titolare si intende “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza“.
Anche con riferimento alle persone giuridiche, Titolare è a tutti gli effetti l’ente in quanto tale, e non già la persona fìsica che ricopre una carica rappresentativa (amministratore, presidente etc);
II Codice ha formalmente introdotto la figura del contitolare (espressamente prevista anche nel modello di notificazione predisposto dal Garante).
Il Titolare risponde, sotto ogni punto di vista, di eventuali trattamenti illeciti perpetrati al proprio interno, laddove non abbia adempiuto ai propri obblighi di definizione e corretta impostazione delle modalità da seguire per il trattamento dei dati e delle correlative misure di sicurezza.

IL RESPONSABILE

Secondo l’art. 4 lett. g), per Responsabile si intende “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo che possono essere preposti dal titolare al trattamento dei dati“.
L’art. 29 definisce con estrema chiarezza il ruolo ed i compiti del Responsabile:
…il responsabile deve essere “individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo della sicurezza…” (art. 29 comma I);
…al responsabile devono essere analiticamente specificati per iscritto i compiti affidati dal titolare” (art. 29 co.3) e le “istruzioni” sulla base delle quali dovrà operare (art. 29 co.5); maggiore è il dettaglio delle istruzioni impartite e meglio sono definiti ruoli e responsabilità. “..il titolare deve vigilare sulla puntuale osservanza delle disposizioni del Codice e delle istruzioni impartite” (art. 29 comma 5).

I principali compiti sono:

  1. nominare gli incaricati del trattamento per le Banche di dati che gli sono state affidate;
  2. sorvegliare che il trattamento sia effettuato nei termini e nei modi stabiliti dal Testo Unico in materia di dati personali;
  3. impartire le istruzioni adeguate agli incaricati del trattamento effettuato con strumenti elettronici e non;
  4. periodicamente, e comunque almeno annualmente, verificare la sussistenza delle condizioni per la conservazione e/o l’aggiornamento dei profili di autorizzazione degli incaricati del trattamento dei dati personali;
  5. redigere, con cadenza annuale (entro il 31 marzo), il Documento Programmatico sulla Sicurezza.

Nel disciplinare tecnico, al punto 19.7 viene chiarito il rapporto tra Titolare e Responsabile “…il titolare, nel quadro del documento programmatico della sicurezza, deve definire i “criteri da adottare per garantire l’adozione delle misure minime di sicurezza” da parte del responsabile ove il trattamento venga svolto all’esterno….
E’ possibile nominare responsabili sia persone fisiche (di norma, all’interno dell’azienda o dell’Ente) che persona giuridiche (ove alcuni trattamenti vengano effettuati al di fuori dell’impresa o dell’Ente, come accade in ipotesi di affidamento all’esterno di determinati servizi). La nomina del Responsabile è facoltativa.
Un responsabile non può nominare un altro responsabile. Tale compito è competenza esclusiva del titolare.

L’INCARICATO

Secondo l’art. 4 lett. h) del Codice, sono incaricati “le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile
Dall’art. 30: “…le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite…
Dall’art. 4 deduciamo che gli incaricati possono essere solo persone fisiche.
In un’impresa privata o in un Ente pubblico, la designazione degli incaricati (a differenza della nomina dei responsabili) è obbligatoria, atteso che solo gli incaricati possono effettuare operazioni di trattamento.
La designazione può derivare direttamente dal titolare, ma anche dal responsabile.
Sempre secondo l’Art. 30: “…La designazione è effettuata per iscritto ed individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato per iscritto l’ambito del trattamento consentito agli addetti all’unità medesima…

L’individuazione scritta degli incaricati può avvenire:

  • Designando una persona fisica
  • Designando una o più classi omogenee di incarico.

Quest’ultima disposizione semplifica i compiti dell’impresa o dell’Ente, in quanto con un unico documento si può regolamentare il ruolo e l’ambito del trattamento da parte di una pluralità di persona fisiche.
Analogamente al rapporto tra Titolare e Responsabile, le responsabilità di un incaricato possono variare in funzione del grado di dettaglio dei compiti impartiti.

L’INTERESSATO

L’Interessato è la persona fisica, la persona giuridica, l’Ente o l’Associazione cui si riferiscono i dati personali.
Egli, in base all’art.7 del Testo Unico ha il diritto di richiedere dell’esistenza o meno dei suoi dati; di avere comunicazioni intellegibili; di conoscere l’origine dei dati; la finalità e modalità del trattamento; la logica applicata; gli estremi identificativi del titolare, del responsabile e dell’incaricato; i soggetti a cui vengono comunicati i dati; di ottenere l’aggiornamento, la rettifica e l’integrazione; la cancellazione, la trasformazione ed il blocco dei dati.
Ha il diritto di opporsi al trattamento di dati anche se pertinenti allo scopo; al trattamento per invio di pubblicità, ricerche di mercato e comunicazioni commerciali; di adire il garante e l’autorità giudiziaria ordinaria.

Siti suggeriti da Tesi in diritto