General Data Protection Regulation
Pubblicato il di ACM service

Le figure del Regolamento Europeo

General Data Protection Regulation

Dopo tre anni dall’entrata in vigore obbligatoria in Italia del Reg. UE 679/2016 “General Data Protection Regulation” ancora troppa confusione vige circa le figure previste, una confusione che nasce soprattutto dalla difficoltà di tradurre nella lingua italiana senza perdere il senso originale. Nel corso dell’evoluzione del documento iniziale presentato dalla Commissione europea è risultato evidente come le varie traduzioni italiane abbiano indotto in confusione non solo il lettore ma anche lo stesso legislatore.

Il Titolare o il Responsabile

Un esempio che renda ragione di quanto detto riguarda la figura del “Titolare”,  completamente scomparsa nelle traduzioni iniziali e sostituita dall’espressione anglofona “Data Controller”, in una prima fase tradotta con un generico “responsabile del trattamento dei dati personali”. Figura del Responsabile che, come ricorderanno gli esperti in materia, era già prevista nel decreto legislativo 196/2003, anche se con un inquadramento totalmente diverso. Nel precedente decreto legislativo, invece, non esisteva la figura del “Responsabile della Protezione dei dati personali” (data protection officer), ruolo attribuito invece al responsabile del trattamento.

Chi è l’incaricato

Un ulteriore esempio riguarda la figura dell’incaricato. Tale figura, nel D. Lgs. 196/2003, era un esecutore che aveva il compito di attuare puntualmente le disposizioni impartite dal responsabile del trattamento dei dati personali o dal titolare. Dopo un travagliato processo di traduzione e di recepimento, oggi in Italia si può fare riferimento a questi soggetti con l’espressione “autorizzati al trattamento di dati personali”.

Un riepilogo per tutti

Di seguito, a maggiore chiarezza, si riporta la seguente tabella dove si compara la definizione del

  • D. Lgs. 196/2003 con la versione del REG. UE adottata in Italia.
  • D. Lgs. 196/2003 Regolamento UE adottato in Italia

Titolare

La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza (D. Lgs. 196/2003 – art. 28)

“Titolare del trattamento” 

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione e degli Stati membri.

Responsabile del trattamento di dati personali   

La persona fisica, la persona giuridica, la pubblica.

“Responsabile del trattamento”    

La persona fisica o giuridica, l’autorità pubblica, l’amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali (D. Lgs. 196/2003 – art. 29) servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Amministrazione di sistema           

La disciplina di protezione dei dati previgente al Codice del 2003 definiva l’amministratore di sistema, individuandolo quale “soggetto al quale è    conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l’utilizzazione” (art. 1, comma 1, lett. c) d.P.R. 318/1999).
Nel Codice, che non include tale figura, le funzioni tipiche dell’amministratore di un sistema sono richiamate nell’Allegato B, nella parte in cui prevede l’obbligo per i titolari di assicurare la custodia delle componenti riservate delle credenziali di autenticazione. Gran parte dei compiti previsti nell’Allegato B spettano tipicamente all’amministratore di sistema: dalla realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati) alla custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione non vi è figura equivalente.

Responsabile della Protezione dei Dati        

Nell’art. 5 del regolamento, che offre le definizioni, manca una definizione specifica; il profilo è desunto dall’art. 37 e segg. E dai chiarimenti offerti nella parte introduttiva (97) Art. 37, comma 5
Il Responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.

Considerando (97) Per i trattamenti effettuati da un’autorità pubblica, eccettuate le autorità giurisdizionali o autorità  giudiziarie indipendenti quando esercitano le loro funzioni giurisdizionali, o per i trattamenti effettuati nel settore privato da un titolare del trattamento le cui attività principali consistono in trattamenti che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala, o ove le attività principali del titolare del trattamento o del responsabile del trattamento consistano nel trattamento su larga scala di categorie particolari di dati personali e di dati relativi alle condanne penali e ai reati, il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del presente regolamento.

Nel settore privato le attività principali del titolare del trattamento riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria. Il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento. Tali responsabili della protezione dei dati, dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente.

Incaricati del Trattamento 

Le persone fisiche che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite (D. Lgs. 196/2003 – art. 30) Non vi è figura direttamente equivalente. “Autorizzato al trattamento” ex art. 29 Articolo 29 – Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento. Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’UE o degli Stati membri.

Interessato

La persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali.

Interessato

Non esiste una definizione specifica, ma solo indiretta. Art. 5, comma 1 – definizioni “Dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *