Chi è il titolare del trattamento e chi è il responsabile del trattamento?
Il GDPR distingue tra due ruoli principali: quelli del titolare del trattamento e del responsabile del trattamento. Questa distinzione è fondamentale in quanto il titolare del trattamento ha più responsabilità e deve adempiere a più obblighi rispetto al responsabile del trattamento.
I titolari del trattamento e i responsabili del trattamento possono essere persone fisiche o giuridiche, ad esempio: una PMI, un'autorità pubblica, un'impresa, un'organizzazione, un ente statale, un'associazione, ecc.
Un titolare del trattamento determina le finalità e i mezzi di un'operazione di trattamento dati. In altre parole, il titolare del trattamento decide come e perché di un'operazione di trattamento. Mentre i responsabili del trattamento trattano i dati personali per conto del titolare del trattamento. Il trattamento effettuato dai responsabili del trattamento deve essere regolato da un contratto con il titolare del trattamento o da un altro atto giuridico.
Esempi di titolari del trattamento:
- aziende che trattano i dati personali dei propri clienti per completare una vendita;
- istituti finanziari che trattano i dati personali dei loro clienti;
- associazioni che trattano i dati dei propri soci;
- scuole o università che trattano i dati personali di studenti e docenti;
- ospedali che trattano i dati personali dei loro pazienti;
- agenzie governative che trattano i dati personali dei cittadini.
Esempi di responsabili del trattamento:
- una PMI assume un servizio di contabilità per conservare i propri libri e registri, la PMI è titolare del trattamento dei dati e il servizio di contabilità è un responsabile del trattamento dei dati;
- una società di buste paga tratta i dati personali di una PMI. La società di buste paga agirà in qualità di responsabile del trattamento se tratta esclusivamente i dati personali per conto della PMI. La PMI determina le finalità e i mezzi del trattamento dei dati ed è pertanto titolare del trattamento.
- una PMI commissiona a una società di marketing di raccogliere indirizzi e-mail tramite siti web di terze parti. La società di marketing lo fa secondo le istruzioni esplicite della PMI e per scopi esclusivi della PMI. La società di marketing funge da responsabile del trattamento per questa raccolta.
Per maggiori informazioni: