Manca circa un mese al 25 maggio, giorno in cui le aziende pubbliche e private dovranno obbligatoriamente adeguarsi al GDPR, il Regolamento Generale sulla Protezione dei Dati che sarà applicato a tutte le imprese che offrono servizi e prodotti a persone che si trovano nel territorio dell’Unione Europea.

I dubbi, a tal proposito, sono ancora abbastanza diffusi. Alcuni di questi riguardano le figure coinvolte in questo processo di adeguamento come il Responsabile del trattamento e il Titolare.

Nel Gdpr il titolare del trattamento (detto anche controller) è colui che ha la responsabilità di mettere in atto misure tecniche e organizzative adeguate per garantire ed essere in grado di mostrare che il trattamento è effettuato conformemente al GDPR. In altri termini, il titolare è colui che si occupa dell’organizzazione gestionale del trattamento ed è il soggetto che ha la responsabilità di mostrare in qualsiasi momento venisse richiesto, da qualunque soggetto interessato, che si stanno osservando le regole previste dal GDPR. Quindi è il soggetto che deve progettare, organizzare e garantire l’attuazione del Regolamento di concerto con le altre figure coinvolte in questo processo, tra cui il responsabile o c.d. processor.

Esiste quindi un rapporto di stretta collaborazione e condivisione tra il titolare e il responsabile del trattamento dei dati. Il titolare è colui che affida una parte o tutto il processo di gestione e attuazione del regolamento al responsabile. Quindi il responsabile deve seguire le istruzioni che gli sono state date dal titolare che ha l’obbligo di controllare che il tutto venga svolto come previsto dal GDPR. Il rapporto tra titolare e responsabile deve essere regolato da “un contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare”. Il responsabile, inoltre, può essere interno o esterno.

Responsabile interno

Il Responsabile è interno quando tutte le norme relative al trattamento vengono attuate dal titolare che rappresenta l’organizzazione. Si tratta del caso in cui il titolare è il soggetto che determina sia le finalità e che le modalità di esecuzione del GDPR. Non avrebbe senso, infatti, che all’interno di un’unica organizzazione tale responsabilità  venga ripartita tra più soggetti che sono direttamente dipendenti dal titolare. Ciò significa che in un’azienda sarà, per esempio, il titolare della stessa a rivestire sia il ruolo di titolare che di responsabile del trattamento dei dati senza affidare il compito di responsabile a un suo dipendente.

Responsabile esterno

La situazione diventa più complessa quando il titolare decide di affidare una parte o tutto il trattamento a un soggetto esterno alla sua impresa per ragioni di carattere organizzativo (quando, per esempio, il titolare dell’azienda non ha la possibilità di svolgere anche quello di responsabile). In questo caso, il soggetto terzo deve comunque fornire la prestazione in conformità alle linee guide dettate dal titolare, seguendo le istruzioni e agendo in suo nome o nel suo interesse e comunque per suo conto. Il titolare dei dati ha, infatti, sempre l’obbligo di dimostrare in ogni momento la conformità dei trattamenti posti in essere per sua decisione e sotto il suo controllo, al GDPR, anche se si avvale di soggetti esterni. Tali soggetti devono eseguire le sue istruzioni, agendo in suo nome e per suo conto ma non sono direttamente alle dipendenze del titolare. Si tratta, quindi, di consulenti esterni.

E’ di fondamentale importanza, ovviamente, chiarire con precisione il rapporto che sussiste tra chi opera come titolare e chi come responsabile e quali siano gli obblighi che ciascuno dei due assume rispetto all’altro. Tutto questo è fondamentale per il corretto funzionamento di tutto il sistema fondato sul GDPR.

In realtà, in ogni momento, i soggetti interessati e le Autorità di controllo,  possono richiedere chi è il titolare dei trattamenti, che risponde integralmente dei trattamenti posti in essere, e chi quello di responsabile, che risponde del suo operato direttamente al titolare e, solo  indirettamente ed eventualmente,  anche all’Autorità di controllo.

Avere un quadro chiaro di come adeguarsi al GDPR e, quindi, capire chi è il titolare e chi il responsabile (interno o esterno) è importante per evitare di incorrere in multe salate che potrebbero essere gravose sul bilancio di fine anno. Adeguarsi costa meno di una multa. Il 25 maggio è vicino. Mettiti in regola. Affidati a esperti del settore che possano aiutarti e guidarti in questo processo di adeguamento e chiarire ogni dubbio su come procedere.

Calabria Link ti aiuterà a capire come fare a non incorrere in pesanti sanzioni che prevedono multe salate che potrebbe gravare pesantemente sull’economia e sul bilancio della tua azienda. Osservare il Regolamento Europeo Generale sulla Protezione dei Dati e nominare il DPO non è una scelta ma un obbligo!

Prenota una consulenza, contattaci ai nostri recapiti per fissare un appuntamento.