Chi è il titolare del trattamento e chi è il responsabile del trattamento?

Il GDPR distingue tra due ruoli principali: quelli del titolare del trattamento e del responsabile del trattamento. Questa distinzione è fondamentale in quanto il titolare del trattamento ha più responsabilità e deve adempiere a più obblighi rispetto al responsabile del trattamento.
I titolari del trattamento e i responsabili del trattamento possono essere persone fisiche o giuridiche, ad esempio: una PMI, un'autorità pubblica, un'impresa, un'organizzazione, un ente statale, un'associazione, ecc.
Un titolare del trattamento determina le finalità e i mezzi di un'operazione di trattamento dati. In altre parole, il titolare del trattamento decide come e perché di un'operazione di trattamento. Mentre i responsabili del trattamento trattano i dati personali per conto del titolare del trattamento. Il trattamento effettuato dai responsabili del trattamento deve essere regolato da un contratto con il titolare del trattamento o da un altro atto giuridico.

Esempi di titolari del trattamento:

  • aziende che trattano i dati personali dei propri clienti per completare una vendita;
  • istituti finanziari che trattano i dati personali dei loro clienti;
  • associazioni che trattano i dati dei propri soci;
  • scuole o università che trattano i dati personali di studenti e docenti;
  • ospedali che trattano i dati personali dei loro pazienti;
  • agenzie governative che trattano i dati personali dei cittadini.

Esempi di responsabili del trattamento:

  • una PMI assume un servizio di contabilità per conservare i propri libri e registri, la PMI è titolare del trattamento dei dati e il servizio di contabilità è un responsabile del trattamento dei dati;
  • una società di buste paga tratta i dati personali di una PMI. La società di buste paga agirà in qualità di responsabile del trattamento se tratta esclusivamente i dati personali per conto della PMI. La PMI determina le finalità e i mezzi del trattamento dei dati ed è pertanto titolare del trattamento.
  • una PMI commissiona a una società di marketing di raccogliere indirizzi e-mail tramite siti web di terze parti.  La società di marketing lo fa secondo le istruzioni esplicite della PMI e per scopi esclusivi della PMI. La società di marketing funge da responsabile del trattamento per questa raccolta.

Per maggiori informazioni: