Titolare e responsabile del trattamento, chi sono e cosa fanno

Facebook
Twitter
LinkedIn

Titolare e responsabile del trattamento sono i due principali soggetti coinvolti nel trattamento dei dati
personali, a cui il GDPR attribuisce specifiche funzioni e responsabilità. Mentre però il titolare è un soggetto
necessario ogni qualvolta si compie un trattamento di dati personali, il responsabile è eventuale, ricorrendo
solo in talune circostanze. Vediamo nello specifico chi sono e che ruoli hanno.
Chi è il titolare del trattamento dei dati
Il GDPR definisce, all’articolo 4, titolare del trattamento la persona fisica o giuridica, l’autorità pubblica, il
servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del
trattamento di dati personali.
Il titolare del trattamento è, pertanto, il soggetto che, avendo ricevuto direttamente dall’interessato o
raccolto presso terzi dati personali, ne determina finalità e mezzi del trattamento. In pratica stabilisce cosa
ne farà dei dati e con quali strumenti li tratterà.
Quali sono le responsabilità del titolare del trattamento
Al titolare del trattamento il GDPR attribuisce una serie di responsabilità, volte alla protezione del dato
personale trattato.
Specificamente, il titolare, quando compie trattamenti di dati personali, è tenuto a mettere in atto misure
tecniche e organizzative adeguate che garantiscano e dimostrino che il trattamento dei dati è svolto
conformemente ai principi e regole del GDPR.
È il medesimo titolare ad essere tenuto a implementare tali misure, in modo idoneo a garantire la
protezione dei dati. Nel farlo deve tenere conto:
 della natura del trattamento,
 dell’ambito di applicazione, del contesto e delle finalità del trattamento;
 dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.
La logica del GDPR è responsabilizzare chi effettua trattamenti di dati, non fornendo un elenco di procedure
e misure tecniche da seguire, ma attribuendo al titolare il compito di strutturare, dopo aver valutato il
contesto specifico, un sistema idoneo a garantire la sicurezza dei dati.
Chi è il responsabile del trattamento dei dati
Il soggetto – persona fisica o giuridica, autorità pubblica, servizio o altro organismo – che tratta dati
personali per conto del titolare del trattamento, assume il ruolo di responsabile del trattamento.
Si tratta di una figura eventuale. Ove, infatti, il trattamento sia svolto interamente dal titolare del
trattamento, non vi sarebbe alcun responsabile del trattamento.
Si tratta, quindi, di un soggetto diverso dal titolare, a cui quest’ultimo ricorre per lo svolgimento di alcuni
trattamenti che, per scelta organizzativa o semplice incapacità, affida ad un soggetto esterno alla sua
organizzazione.
Un esempio concreto: un’azienda affida ad un fornitore esterno l’elaborazione delle buste paga dei
dipendenti. L’azienda è il titolare del trattamento dei dati dei propri dipendenti, il fornitore esterno è il
responsabile del trattamento dei dati personali dei dipendenti contenuti nelle buste paga.
Il GDPR, all’articolo 28, prescrive che il titolare del trattamento, nel ricorrere ad un responsabile del
trattamento deve assicurarsi che quest’ultimo:

 sia in grado di mettere in atto misure tecniche e organizzative adeguate in modo tale che il
trattamento soddisfi i requisiti del GDPR;
 sia in grado di garantire la tutela dei diritti dell’interessato.
Rapporti tra titolare e responsabile, come regolamentarli
La regolamentazione dei rapporti tra titolare e responsabile del trattamento è rimessa a un contratto tra i
due soggetti, che vincoli il responsabile del trattamento al titolare del trattamento e stabilisca:
 la durata del trattamento;
 la natura e la finalità del trattamento;
 il tipo di dati personali e le categorie di interessati;
 gli obblighi e i diritti del titolare del trattamento.
Il responsabile del trattamento, nel trattare i dati per conto del titolare, oltre all’osservanza del GDPR e
della normativa privacy nazionale, deve attenersi a quanto stabilito in tale contratto e alle istruzioni fornite
dal titolare.
In dettaglio, nel contratto con il titolare, dovrà essere previsto che il responsabile debba:
 garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla
riservatezza o abbiano un adeguato obbligo legale di riservatezza;
 adottare tutte le misure di sicurezza richieste dall’articolo 32 del GDPR;
 essere autorizzato dal titolare per ricorrere a un altro responsabile del trattamento;
 assistere il titolare del trattamento con misure tecniche e organizzative adeguate al fine di
soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei
diritti dell’interessato;
 assistere il titolare del trattamento nel garantire il rispetto degli obblighi in materia di sicurezza dei
dati personali;
 su scelta del titolare del trattamento, cancellare o restituire al titolare tutti i dati personali dopo
che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo
che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;
 mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare
il rispetto degli obblighi;
 consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzati dal titolare del
trattamento o da un altro soggetto da questi incaricato.