Il modo in cui le organizzazioni utilizzano e conservano i dati personali è stato oggetto di esame per molti anni, e la pressione per una loro gestione responsabile non potrà che aumentare man mano che un numero sempre maggiore di consumatori si renderà conto di quanto siano preziosi i loro dati.
In questa esigenza di responsabilità entrano in gioco i responsabili e gli incaricati del trattamento dei dati.
Continuate a leggere per conoscere le differenze tra un responsabile del trattamento dei dati e un incaricato del trattamento.
Che cos'è un responsabile del trattamento dei dati?
Secondo il Regolamento generale sulla protezione dei dati (GDPR), i responsabili del trattamento dei dati sono responsabili dei dati personali raccolti da un'azienda o da un'organizzazione. Un responsabile del trattamento è una persona - o un'entità - che prende decisioni di alto livello sui dati.
Il responsabile del trattamento definisce e decide cosa fa l'incaricato del trattamento, se si tratta di persone o organizzazioni distinte.
Come capire se si è un responsabile del trattamento dati
In alcune circostanze, può essere difficile sapere se siete un responsabile o un incaricato del trattamento dei dati.
Ad esempio, se un'app elabora i dati di pagamento tramite Stripe o Apple Pay e memorizza i dati della carta sul dispositivo dell'utente, questa app mobile è il responsabile o l'incaricato del trattamento dei dati?
l'autorità britannica per la protezione dei dati raccomanda alle organizzazioni di prendere in considerazione la seguente lista di controllo per decidere se sono responsabili del trattamento dei dati:
☐ Abbiamo deciso di raccogliere o trattare i dati personali.
☐ Abbiamo deciso quale deve essere lo scopo o il risultato del trattamento.
☐ Abbiamo deciso quali dati personali raccogliere.
☐ Abbiamo deciso quali persone raccogliere i dati personali.
☐ Otteniamo un guadagno commerciale o un altro beneficio dal trattamento, ad eccezione di qualsiasi pagamento per servizi da parte di un altro responsabile del trattamento.
☐ Stiamo elaborando i dati personali in seguito a un contratto tra noi e l'interessato.
☐ Gli interessati sono i nostri dipendenti.
☐ Prendiamo decisioni sulle persone interessate come parte o come risultato del trattamento.
☐ Esercitiamo un giudizio professionale nel trattamento dei dati personali.
☐ Abbiamo un rapporto diretto con gli interessati.
☐ Abbiamo piena autonomia sulle modalità di trattamento dei dati personali.
☐ Abbiamo incaricato i responsabili del trattamento di trattare i dati personali per nostro conto".
Più caselle si spuntano, più è probabile che si sia un responsabile del trattamento dei dati.
Responsabilità del Titolare del trattamento
Poiché i responsabili del trattamento dei dati godono di un controllo così elevato sulla raccolta, l'uso e l'elaborazione dei dati personali, essi hanno il massimo livello di responsabilità per quanto riguarda la conformità ai vari requisiti imposti dal GDPR.
Ad esempio, i responsabili del trattamento dei dati devono rispettare i seguenti requisiti GDPR :
- Devono identificare e documentare una base legittima ai sensi dell'articolo 6 del GDPR per giustificare la raccolta e il trattamento legale dei dati personali.
- Devono garantire che i dati personali siano protetti da misure di sicurezza adeguate, come la crittografia e il controllo degli accessi.
- Devono rispettare i principi fondamentali del GDPR, come la responsabilità, l'equità e la trasparenza.
Se un responsabile del trattamento dei dati non soddisfa i requisiti GDPR , può incorrere in due rischi:
Rischio n. 1: Le autorità di regolamentazione possono intraprendere azioni legali e imporre multe in caso di non conformità.
Ad esempio, Whatsapp è un responsabile del trattamento dei dati perché raccoglie numeri di telefono per i propri scopi e decide le modalità di trattamento. In Irlanda ha dovuto affrontare una multaGDPR di 225 milioni di euro perché la sua politica sulla privacy non soddisfaceva i requisiti di trasparenza.
Rischio n. 2: Gli interessati possono intentare un'azione legale e chiedere il risarcimento dei danni.
Quando un responsabile del trattamento dei dati personali tratta i dati degli individui in modo non conforme, gli individui possono anche citare in giudizio i responsabili del trattamento dei dati per danni.
Esempi di Titolare del trattamento
Il responsabile del trattamento dei dati può essere una persona fisica, un'entità, un ente di beneficenza o un'agenzia governativa. Talvolta assume anche il ruolo di responsabile del trattamento.
Ad esempio, se un'azienda utilizza Google Workspace per la comunicazione e la collaborazione interna, l'azienda sarà il responsabile del trattamento dei dati e Google l'incaricato del trattamento.
Che cos'è un responsabile del trattamento dei dati?
Il GDPR stabilisce che un responsabile del trattamento dei dati è una persona o un'organizzazione che tratta i dati in base alle offerte di un responsabile del trattamento.
Nelle operazioni quotidiane di un'organizzazione, il responsabile del trattamento dei dati stabilisce le regole e l'incaricato del trattamento dei dati si attiene a tali regole.
Responsabilità di un responsabile del trattamento dei dati
l'articolo 4 del GDPR recita:
"incaricato del trattamento": persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che tratta dati personali per conto del responsabile del trattamento."
Un incaricato del trattamento dei dati raccoglie, archivia o cancella i dati personali in entrata secondo le linee guida stabilite da un responsabile del trattamento dei dati che, a sua volta, dovrebbe seguire le linee guida GDPR .
l'incaricato del trattamento progetta, crea e implementa soluzioni tecnologiche per l'acquisizione di dati personali e misure di sicurezza per la salvaguardia di tali dati. Inoltre, l'incaricato del trattamento è responsabile della conservazione dei dati personali e del trasferimento dei dati ad altre organizzazioni, come definito dal responsabile del trattamento.
Poiché gli incaricati del trattamento non controllano le finalità e i mezzi del trattamento, le loro responsabilità ai sensi del GDPR sono limitate. Tuttavia, alcuni obblighi del GDPR si applicano ancora agli incaricati del trattamento:
- I Responsabili del trattamento devono rispettare i requisiti di sicurezza di cui all'articolo 32 GDPR.
- Gli incaricati del trattamento devono stipulare un accordo di trattamento dei dati se utilizzano i propri incaricati del trattamento per fornire i loro servizi. Inoltre, questi accordi con i subincaricati devono riflettere gli obblighi imposti all'incaricato principale.
- I responsabili del trattamento possono essere tenuti a tenere un registro delle attività di trattamento ai sensi dell'articolo 35 GDPR.
- I responsabili del trattamento hanno determinati obblighi ai sensi dell'articolo 46 GDPR in materia di trasferimenti internazionali di dati.
Come i responsabili del trattamento dei dati, anche gli incaricati del trattamento dei dati possono incorrere in un'azione normativa per la mancata conformità al GDPR. Inoltre, gli interessati possono anche intentare cause contro i responsabili del trattamento.
Esempi di responsabili del trattamento dei dati
Come i responsabili del trattamento, anche gli incaricati del trattamento possono essere persone fisiche o giuridiche.
Immaginate che la vostra azienda organizzi una grande festa e inviti tutti i suoi clienti. l'azienda si rivolge a un'azienda di stampa esterna per creare gli inviti. La tipografia riceve un elenco di nomi e indirizzi dei clienti.
In questa situazione, il GDPR considererebbe l'azienda grafica un elaboratore di dati perché utilizza i dati personali secondo le istruzioni del responsabile del trattamento.
Titolare e Responsabile del trattamento: Differenze e analogie
I responsabili e gli incaricati del trattamento dei dati si concentrano quotidianamente sullo stesso terreno: i dati personali. Tuttavia, i loro ruoli sono molto diversi, così come le loro responsabilità. Per quanto riguarda i dati, il GDPR vede i responsabili del trattamento più come i generali, mentre gli incaricati del trattamento sono i soldati semplici.
| Controllori dei dati | Responsabili del trattamento dei dati |
| Definisce le modalità di trattamento dei dati - pensando sempre a ciò che fanno i responsabili del trattamento dei dati | Tratta i dati secondo le linee guida del controllore |
Prende decisioni chiave sui dati:
|
Segue le regole sui dati stabilite dal responsabile del trattamento |
Una persona può essere sia titolare che responsabile del trattamento dei dati?
Esistono sovrapposizioni tra le attività dei responsabili e degli incaricati del trattamento. La differenza principale tra i due ruoli è di tipo gerarchico. In qualsiasi organizzazione, le attività quotidiane delle due posizioni sono profondamente intrecciate.
Il GDPR prevede il doppio ruolo per individui, aziende e altre organizzazioni. Ad esempio, in alcuni casi, potreste essere il responsabile del trattamento dei dati per un'organizzazione e il responsabile del trattamento dei dati per un'altra.
Anche se un fornitore di terze parti o un'altra organizzazione ricopre sempre o occasionalmente questo duplice ruolo, è fondamentale capire in che modo le posizioni di responsabile e di responsabile dei dati differiscono e perché.
Quali leggi lo richiedono?
l GDPR è attualmente una delle leggi più severe a livello globale in materia di privacy dei dati, che interessa le organizzazioni che gestiscono dati di persone nell'UE. Per questo motivo, è fondamentale seguire da vicino i ruoli e le responsabilità delineati nell'articolo 4 del GDPR.
Inoltre, assicuratevi di seguire altre leggi sulla privacy, come la CCPA (California), la PIPL (Cina) e la LGPD (Brasile), che possono avere definizioni e requisiti specifici. Se la vostra organizzazione ha a che fare con i dati in qualsiasi modo, dovete informarvi sulle leggi locali, nazionali e internazionali.
Pur non essendo allo stesso livello del GDPR, il Federal Trade Commission Act incarica la FTC negli Stati Uniti di applicare le norme sulla privacy dei dati, comprese le situazioni in cui un'organizzazione non si attiene alle proprie politiche sulla privacy dei dati pubblicate.
Inoltre, il Children's Online Privacy Protection Act (COPPA) vieta la raccolta di dati su bambini di età inferiore ai 13 anni.
I responsabili del trattamento dei dati e la legge
Come suggerisce il nome, i responsabili del trattamento dei dati hanno la responsabilità maggiore ai sensi del GDPR , perché sono i responsabili finali dei dati personali di un'organizzazione.
Le multe per la mancata conformità al GDPR sono stabilite caso per caso, ma possono diventare piuttosto salate. Le sanzioni massime sono calcolate come una parte del fatturato globale annuo di un'organizzazione non conforme. L'ammenda può raggiungere il 4% del fatturato o 20 milioni di euro, a seconda di quale sia il valore più alto.
Per le infrazioni più lievi, le multe possono variare dal 2% del fatturato globale a 10 milioni di euro.
In qualità di responsabile del trattamento dei dati, dovete sempre scegliere un incaricato del trattamento dei dati che sia conforme al GDPR. Alla fine la vostra organizzazione sarà ritenuta colpevole.
Inoltre, è necessario disporre di un accordo che stabilisca cosa accadrà con i dati personali in caso di risoluzione del contratto tra un responsabile del trattamento e un incaricato del trattamento.
I responsabili del trattamento dei dati e la legge
Gli incaricati del trattamento dei dati potrebbero avere meno controllo sulle decisioni relative ai dati personali. Tuttavia, un responsabile del trattamento dei dati che non si concentra sul GDPR non sarà utile a molte organizzazioni. Questo perché il GDPR autorizza i tribunali a comminare multe agli incaricati del trattamento dei dati, non solo ai responsabili del trattamento.
Sebbene un incaricato del trattamento dei dati debba raccogliere, archiviare e smaltire i dati personali per conto di un responsabile del trattamento dei dati, deve anche sforzarsi di mantenere un registro accurato delle attività. Questo non solo è richiesto dagli standard GDPR , ma è anche probabilmente la migliore pratica del responsabile del trattamento dei dati.
Se i tribunali dell'UE indagano su una violazione o su un altro caso di non conformità al GDPR, il responsabile del trattamento dei dati sarà soggetto a indagini, così come il titolare del trattamento.
Comprendere i ruoli dei responsabili e degli incaricati del trattamento dei dati è fondamentale per garantire una corretta gestione dei dati personali ed evitare potenziali problemi legali. Che siate responsabili o incaricati del trattamento dei dati, la conformità alle leggi sulla privacy, come il GDPR e altre, è fondamentale per proteggere la vostra organizzazione e costruire la fiducia dei vostri utenti.
Per saperne di più su chi scrive
Scritto da Ali Talip Pınarbaşı, CIPP/E, & LLM
Ali è avvocato specializzato in diritto della privacy con sede a Londra. Ha conseguito un Master in diritto della privacy dell’UE al King’s College di Londra. Ha sei anni di esperienza nel fornire consulenza alle aziende su come conformarsi alle normative sulla protezione dei dati. Per saperne di più su chi scrive
