Chi è il titolare del trattamento dei dati?
Il titolare del trattamento determina le finalità e i mezzi del trattamento dei dati personali. In altre parole, il titolare del trattamento decide come e perché di un'operazione di trattamento dei dati. Un titolare del trattamento può essere una persona giuridica, ad esempio un'impresa, una PMI, un'autorità pubblica, un'agenzia o un altro organismo.
In alcuni casi, le finalità e i mezzi del trattamento dei dati personali, nonché il titolare del trattamento, possono essere determinati dal diritto dell'UE o degli Stati membri.
Che cosa è un titolare congiunto?
Quando vi sono due o più titolari del trattamento che determinano congiuntamente lo scopo e i mezzi del trattamento, sono considerati contitolari del trattamento. Decidono insieme di trattare i dati personali per uno scopo comune. Il controllo congiunto può assumere molte forme e la partecipazione dei diversi titolari del trattamento può essere diseguale. I contitolari del trattamento devono pertanto determinare le rispettive responsabilità per il rispetto del GDPR.
Quali sono le responsabilità di un titolare del trattamento o di un contitolare?
Nel decidere le finalità e le modalità del trattamento dei dati personali, il titolare del trattamento, o i contitolari del trattamento, devono garantire che i dati personali delle persone siano protetti.
A tal fine, il titolare del trattamento, o i contitolari del trattamento, devono adottare misure per proteggere i dati personali e consentire alle persone fisiche di esercitare i loro diritti.
Chi è il responsabile del trattamento dei dati?
Il responsabile del trattamento agisce esclusivamente sotto le istruzioni del titolare del trattamento, trattando i dati personali per conto del titolare.
Analogamente a un titolare del trattamento o a un contitolare del trattamento, un responsabile del trattamento può essere una persona giuridica, ad esempio un'impresa, una PMI, un'autorità pubblica, un'agenzia o altro organismo.
Chi è il sub-responsabile?
Il sub-responsabile del trattamento agisce sotto le istruzioni del titolare del trattamento, il che significa che può trattare i dati personali delle persone per conto del titolare. Il sub-responsabile del trattamento può essere una persona giuridica, ad esempio un'impresa, una PMI, un'autorità pubblica, un'agenzia o un altro organismo.
Da notare, un sub-responsabile del trattamento può essere nominato solo se il titolare del trattamento, o contitolare, lo autorizzano in forma scritta. In tal caso, il responsabile del trattamento deve stipulare un contratto vincolante con il sub-responsabile del trattamento che specifichi le sue responsabilità. Il presente contratto di sub-responsabile del trattamento deve prevedere lo stesso tipo di protezione dei dati personali delle persone fisiche prevista nel contratto iniziale titolare-responsabile del trattamento.
Quali sono le responsabilità di un resonsabile?
Mentre la responsabilità generale spetta generalmente al titolare del trattamento, anche i responsabili del trattamento hanno determinate responsabilità ai sensi del GDPR. I responsabili del trattamento devono effettuare le operazioni di trattamento con le opportune misure tecniche e organizzative indicate dal titolare del trattamento o dal contitolare del trattamento. In tal modo, il responsabile del trattamento assiste il titolare del trattamento nel rispetto del Regolamento generale sulla protezione dei dati.
Il rapporto titolare del trattamento-responsabile del trattamento, comprese le responsabilità del responsabile del trattamento, deve essere disciplinato da un contratto in cui le operazioni di trattamento e i mezzi per trattare i dati personali siano documentati.
Per ulteriori informazioni, vedere la "lista di controllo delle responsabilità del responsabile".
Cosa includere in un contratto tra titolare e responsabile?
Il contratto tra il titolare del trattamento o il contitolare del trattamento e l'incaricato del trattamento deve stabilire che il responsabile del trattamento:
- tratti i dati personali solo su indicazioni del titolare del trattamento, anche per quanto riguarda i trasferimenti di dati personali verso un paese al di fuori del SEE;
- garantiscea che le persone autorizzate al trattamento dei dati si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza;
- garantisca la sicurezza del trattamento;
- non coinvolga un altro responsabile del trattamento senza previa autorizzazione scritta specifica o generale del titolare del trattamento, che deve avere una significativa possibilità di opporsi;
- assista il titolare del trattamento nell’adempimento degli obblighi del trattamento di prendere in carico le richieste di esercizio dei propri diritti da parte degli individui;
- assista il titolare del trattamento nella messa in sicurezza del trattamento, nella notifica delle violazioni dei dati e nell'esecuzione delle DPIA;
- a scelta del titolare del trattamento, cancelli o restituisca tutti i dati personali al titolare del trattamento, dopo la fine della prestazione dei servizi;
- metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dal GDPR;
- consenta e contribuisca agli audit, comprese le ispezioni condotte dal titolare del trattamento o da un altro revisore incaricato dal titolare del trattamento.
Cosa includere in un contratto tra responsabile e sub-responsabile del trattamento?
Il contratto tra il responsabile e il sub-responsabile del trattamento deve includere clausole specifiche che garantiscano che i dati personali che devono essere trattati siano protetti nello stesso modo previsto nel contratto tra il titolare e il responsabile del trattamento.
Chi è responsabile di chi?
Un titolare del trattamento, o contitolare, è responsabile sia della propria conformità al GDPR, sia della conformità del responsabile del trattamento prescelto. In termini concreti, se il responsabile del trattamento viola i suoi obblighi ai sensi del GDPR, il titolare del trattamento, o contitolare del trattamento, potrebbero essere ritenuti responsabili ed essere soggetti a sanzioni pecuniarie e altre conseguenze, se previsto.
Un responsabile del trattamento è responsabile sia della propria conformità al GDPR sia nei confronti del titolare del trattamento per violazione del contratto contraente-responsabile del trattamento. Un responsabile del trattamento può anche essere responsabile nei confronti del titolare del trattamento per le violazioni causate dal sub-responsabile del trattamento.
Lista di controllo delle responsabilità
Lista di controllo delle responsabilità del titolare del trattamento o del contitolare
- Rispettare i principi della protezione dei dati ai sensi dell'art. 5 GDPR
- Tutelare i diritti alla protezione dei dati delle persone fisiche
- Conservare la documentazione delle operazioni di trattamento
- Garantire la sicurezza del trattamento
- Scegliere un responsabile del trattamento dei dati idoneo
- Dettagliare, in un contratto vincolante, il rapporto titolare-responsabile
- Notificare le violazioni dei dati personali all'Autorità competente per la protezione dei dati dell’area SEE e alle persone fisiche, se previsto
- Essere responsabili delle operazioni di trattamento, mettere in atto la protezione dei dati fin dalla progettazione e impostazione predefinita, effettuare valutazioni d'impatto sulla protezione dei dati, quando necessario
- Nominare un responsabile della protezione dei dati, quando necessario
- Rispettare gli obblighi in materia di protezione dei dati relativi ai trasferimenti internazionali di dati personali
- Cooperaree con le Autorità preposte alla protezione dei dati personali
Lista di controllo delle responsabilità del responsabile del trattamento
- Seguire le istruzioni del titolare
- Conservare la documentazione delle operazioni di trattamento
- Garantire la sicurezza del trattamento
- Rispettare e garantire il contratto vincolante tra titolare e responsabile del trattamento
- Ottenere l'autorizzazione del titolare del trattamento prima di assumere un nuovo sub-responsabile del trattamento (e dare al titolare la possibilità di opporsi). Se previsto, il contratto di sub-responsabile del trattamento deve essere posto in essere ed equiparato al contratto iniziale del responsabile del trattamento
- Notificare le violazioni dei dati personali al titolare del trattamento
- Notificare le violazioni del GDPR al titolare del trattamento
- Essere responsabili delle operazioni di trattamento: ad esempio, esercitando la protezione dei dati fin dalla progettazione e impostazione predefinita
- Nominare un responsabile della protezione dei dati, quando necessario
- Garantire che i trasferimenti internazionali di dati siano autorizzati dal titolare del trattamento e siano conformi al GDPR
- Cooperare con le Autorità preposte alla protezione dei dati personali