menu
cerca
Titolare del Trattamento

Titolare del Trattamento

Titolare trattamento dei dati
25 Giugno 2024

Le figure principali del GDPR sono il titolare del trattamento, l’interessato, il responsabile e l’addetto

Qui di seguito parleremo del Titolare del trattamento.

Art. 4 GDPR – definizioni comma 7

«titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.

In breve il Titolare è il soggetto che gestisce l’intero processo del trattamento dei dati personali, è colui (persona fisica o giuridica) che tratta i dati e nel trattarli è tenuto ad adottare delle misure tecniche e organizzative idonee al fine di assicurare, ed essere poi in grado di dimostrare, che il trattamento dei dati personali è realizzato in modo conforme alla disciplina dettata dal Regolamento Europeo (principio di accountability – che in italiano si può tradurre come principio di responsabilizzazione e rendicontazione).

Il Titolare è il soggetto che determina (decide) il fine del trattamento (ossia il perché del trattamento) l’oggetto del trattamento (quali dati trattare), con quali mezzi / modalità intende conseguire tale fine e pe quanto tempo trattarli (data retention).

Il titolare può essere una persona fisica (ad esempio un professionista), un ente o un’azienda

In capo al titolare gravano diversi obblighi / adempimenti:

  • il trattamento dei dati personali deve avvenire del rispetto dei principi elencati dall’art. 5 GDPR, ossia liceità, correttezza, trasparenza, minimizzazione e esattezza del dato;
  • prima di procedere con un nuovo trattamento il titolare deve effettuare una valutazione dei rischi ed eventualmente una valutazione d’impatto DPIA (nei casi in cui ricorrano le condizioni di cui all’art. 35 del GDPR) il tutto al fine di individuare i rischi insiti nel trattamento e mettere in campo le misure idonee a mitigare i rischi individuati;
  • rispettare il principio della “privacy by design e privacy by default”, tale principio introdotto dall’articolo 25 del GDPR prevede la necessità di configurare il trattamento dei dati personali stabilendo, prima ancora che abbia inizio il trattamento, le misure indispensabili per garantire la sicurezza dei dati personali che si intende trattare;
  • adottare regole interne (Policy – Regolamenti interni) che indichino modalità, mezzi, misure di sicurezza idonei a garantire la tutela della privacy degli interessati;
  • redigere ed aggiornare il registro dei trattamenti. Si tratta di un documento nel quale il Titolare del trattamento, grazie all’ausilio dei referenti dei singoli reparti e/o dell’eventuale DPO (nel caso in cui la sua nomina sia obbligatoria), mappa tutti i trattamenti dei dati personali effettuati dividendoli per categoria, indicando al tal fine non solo l’insieme dei soggetti interessati al trattamento ma anche la tipologia dei dati personali trattati, le finalità e la base giuridica, i Responsabili esterni coinvolti nel trattamento, se vi sia o meno trasferimento di dati al di fuori dell’Unione Europea, nonché i tempi di conservazione dei dati e le misure di sicurezza adottate per proteggere il trattamento;
  • designare tramite accordo scritto ex art. 28 i Responsabili esterni ossia le figure terze, o più specificatamente i soggetti che si occuperanno nel concreto della gestione dei dati per conto del titolare rispettando le indicazioni ricevute;
  • provvedere alla cancellazione dei dati quando richiesto dalla legge o dagli interessati, più in generale assicurare agli interessati la possibilità di esercitare tutti i diritti previsti dal GDPR;
  • fornire agli interessati un’informativa completa così come previsto dagli articoli 13 e 14 del GDPR. L’informativa è un “avviso” che il titolare deve fornire agli interessati, meglio ai cittadini prima che diventino interessati, in altre parole prima che inizi il trattamento, ha lo scopo di renderli edotti sulle finalità e sulle modalità (mezzi, data retention, ecc.) sullo specifico trattamento effettuato al fine di esprimere liberamente il loro consenso informato;
  • documentare le eventuali violazioni dei dati dotandosi di un apposito registro il c.d. registro delle violazioni, il titolare dovrà inoltre, ove ne ricorrano le condizioni definite dall’art 33 GDPR notificare la violazione (data breach) al Garante e agli eventuali interessati coinvolti, dovrà inoltre provvedere con una nuova valutazione / analisi dei rischi al fine di adottare misure che prevengano ulteriori violazioni;
  • prevedere l’erogazione di specifici corsi di formazione sul tema della privacy per tutti gli autorizzati al trattamento.

Per ulteriori approfondimenti

https://www.epc.it/contenuti/814-9_form_prot_dati.pdf

contattaci
Go to top