Il titolare del trattamento dati, o data controller, è la persona giuridica, autorità pubblica, o persona fisica, che ha l’obbligo di determinare le finalità ed i mezzi necessari per il trattamento dei dati personali, secondo l’art. 4 del Reg CE 679/2016, General Data Protection Regulation. Regolamento comunitario che definisce i requisiti per la privacy.
In poche parole, è la figura, che è in testa della catena di responsabilità rispetto alla gestione e trattamento dei dati personali, che ha il ‘potere’ di decidere quali dati devono essere trattati, per quali motivi, e come. Mettendo a disposizione le risorse necessarie.
Il responsabile del trattamento dati, invece, o data processor, è la persona fisica, giuridica, che ha la responsabilità di elaborare i dati personali sotto indicazione e responsabilità del titolare del trattamento.
Queste due figure, sono tra le novità obbligatorie introdotte dal GDPR. Il General Data Protection Regulation richiede l’effettuazione da parte dell’organizzazione di una valutazione dei rischi specifica d’impatto, la messa in atto di azioni preventive, di mitigazione e per la gestione delle criticità.
Definendo anche l’obbligo di nomina delle figure sopra citate. Ruoli che spesso vengono confusi anche se vi sono importanti differenze di responsabilità, che cercheremo di approfondire in questo articolo. Il regolamento si applica ad ogni tipologia di organizzazione che tratti, archivi, gestisca o lavori, con qualsiasi tipologia di dato personale.
Regolamento sul trattamento dati: perché è importante?
Nell’era odierna le informazioni ed il loro accesso sono tra le risorse più preziose, i grandi possessori di queste informazioni, dati, riescono, infatti, commercialmente e o socialmente ad influenzare grandi masse di persone.
È quindi fondamentale che le organizzazioni, e soprattutto le persone siano tutelate dall’uso indiscriminato, talvolta illecito, dei loro dati che per talune realtà risultano essere grandi fonti di guadagno.
A questo scopo assieme ai requisiti obbligatori sulla privacy, grazie al Reg CE 679/16, si è affiancata anche la necessità di gestire sistematicamente i dati e le informazioni, andando ben oltre ai principi della privacy sui dati sull’individuo, in risposta ai, sempre più frequenti, atti di cyberterrorismo a livello internazionale.
La risposta a queste necessità di cybersicurezza è la recente revisione della norma di certificazione Iso 27001, lo standard internazionale che fornisce le linee guida per l’implementazione, la gestione ed il miglioramento continuo di un sistema di gestione per la sicurezza dati e delle informazioni. E più nello specifico, la norma di certificazione ISO 27701, che si occupa nello specifico della compliance per i dati personali.
Titolare trattamento dati: chi è?
Prima di evidenziare quelle che sono le differenze tra il titolare trattamento dati ed il responsabile del trattamento dati, vediamone ne definizioni. L’articolo 4 del GDPR al punto 7 definisce:
- Titolare trattamento dati: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.
Il titolare del trattamento dati è l’entità che potrà essere una persona o un’organizzazione che ha la responsabilità finale per la protezione dei dati, che definisce le modalità, e l’attuazione, in base ai requisiti, di trattamento e protezione dati. Le responsabilità del data controller si riassumono in:
- L’effettuazione, dove necessario coadiuvato dalla figura del DPO, della valutazione di impatto;
- La definizione delle risorse necessarie per le azioni a tutela della protezione e gestione dei dati;
- L’invio e la raccolta del consenso al trattamento delle parti interessate;
- Effettua la revoca delle richieste degli interessati;
- Definisce l’accesso alle informazioni per le parti interessate;
- Ha la responsabilità di tutto il processo.
Il data controller è quasi sempre ritenuto responsabile di violazioni o accessi non autorizzati e perdite dei dati. L’articolo 26 del GDPR definisce e contempla anche la possibilità che, per le organizzazioni complesse, vi siano più titolari del trattamento o contitolari.
Responsabile del trattamento dati: chi è?
Vediamo chi è adesso, così poi da analizzarne le differenze con il titolare, chi è la figura del responsabile del trattamento dati. L’articolo 4 del GDPR al punto 8 definisce:
- Responsabile del trattamento dati: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Questa è una delle differenze importanti rispetto alle normative precedenti, infatti con il GDPR sono state ampliate le responsabilità nei confronti del responsabile del trattamento dei dati. L’articolo 28 del GDPR stabilisce:
Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.
Ovvero il titolare del trattamento dati, responsabile ultimo, dovrà definire le competenze necessarie per l’assunzione dell’incarico del responsabile del trattamento.
Queste competenze, per essere conformi al regolamento, potranno comprendere esperienza, corsi specifici, per la mansione anche da DPO, e o per i prestatori di servizio esterni, audit di qualifica presso stessi e o la richiesta di certificazioni come la norma Iso 27001, in ambito privacy dello standard ISO 27701 o la Unidpr 43.
La presa di incarico della mansione del responsabile al trattamento dei dati, deve essere effettuata tramite una nomina ed una descrizione dettagliata.
Il ruolo del data processor dovrà mantenere una certa indipendenza, infatti queste figure dovranno avere un comportamento attivo nei confronti del titolare per il trattamento dei dati, consigliandolo e prodigandosi affinché vengono raggiunti tutti gli obbiettivi della protezione dei dati.
Differenze tra data controller e data processor
Le differenze sostanziali tra il titolare trattamento dati ed il responsabile del trattamento dati sono molto chiare. Il data controlle è in una certa sorta il capo, ed è colui che ha la piena responsabilità, anche giuridica, dei dati, dalla raccolta, all’archiviazione, gestione fino alla possibile perdita. Capacità decisionale e di spesa, per poter assicurare la gestione del sistema di protezione.
Il data processor è quella figure, figure, ed entità che effettueranno i vari servizi concordati conformi alle procedure per la prevenzione e mitigazione della protezione e perdita dei dati, scaturiti dalla valutazione di impatto ed al GDPR.
Differenza tra protezione e privacy dei dati
Quando parliamo di protezione dei dati e privacy, spesso vengono considerati come il medesimo concetto ma non è così.
La principale differenza tra protezione dei dati e privacy dei dati è rappresentata dal contesto a cui si applicano. Con il termine di protezione dei dati ci riferiamo ad aspetti basati sulla sicurezza informatica per la protezione dei dati inerente a possibili attacchi nei confronti di figure non autorizzate a tale accesso. Considerando anche le proprietà intellettuali ed industriali.
Per la privacy dei dati invece si fa riferimento all’acceso consentito così come definito dal GDPR sulla persona fisica.
