L’organigramma privacy schematizza i ruoli coinvolti nei trattamenti di dati personali. Non è un adempimento obbligatorio, nelle organizzazioni più strutturate può aiutare e tenere sotto controllo le diverse autorizzazioni al trattamento nel rispetto dei principi di minimizzazione e di limitazione delle finalità (art. 5 del GDPR).
Ad ogni ruolo indicato nell’organigramma deve corrispondere un incarico o un accordo formalizzato.
Il Titolare può definire uno schema comprendente tutti i trattamenti da cui derivare, se necessario, degli schemi relativi a ciascun specifico trattamento.
L’immagina a fianco riporta un esempio di organigramma “privacy”. Non sempre i ruoli menzionati sono tutti presenti in un’organizzazione.
TITOLARE DEL TRATTAMENTO
Il Titolare del trattamento può essere un’impresa, un libero professionista, un’associazione o un ente con o senza personalità giuridica che determina le finalità e i mezzi di un trattamento di dati personali (art. 4(7) GDPR) sul quale gravano gli oneri e le responsabilità di garantire i diritti agli interessati. Gli interessati sono le persone fisiche cui sono riferiti i dati personali trattati. Nel caso di un’ente organizzato (es. un’azienda), il Titolare del trattamento è l’impresa nel suo complesso e non va confuso con il soggetto al vertice dell’attività di impresa (cui spesso ci si riferisce proprio con il termine “titolare”).
Il Titolare del trattamento decide le finalità e i mezzi del trattamento e sopporta le conseguenze delle decisioni.
Il Titolare ha il compito di fare rispettare i principi del GDPR e deve essere in grado di dimostrarlo, in caso di necessità, di fronte a richieste esterne (es. da parte di altri titolari, di auditor, di autorità di controllo). Questo ultimo principio prende il nome di “accountability” (o responsabilizzazione, nella traduzione italiana).
NB: Non è necessario che il titolare abbia accesso ai dati trattati per essere qualificato come “titolare” ai sensi del GDPR (Guidelines 07/2020 on the concepts of controller and processor in the GDPR – EDPB).
GDPR – art. 4, par. 7: «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
GDPR – considerando 74: È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. […]
È sempre necessario delineare i compiti e le responsabilità del Titolare del trattamento.
RESPONSABILE DELLA PROTEZIONE DEI DATI (RDP o DPO)
GDPR – art. 39: 1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo; e
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
AUTORIZZATI AL TRATTAMENTO
GDPR – art. 29: Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
RESPONSABILE DEL TRATTAMENTO
GDPR – art. 4.8): «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Il titolare del trattamento può ricorrere a soggetti che, con più o meno autonomia, trattano dati per suo conto, dietro sue istruzioni, perseguendo le medesime finalità.
L’art. 28 del GDPR definisce come devono essere regolati i rapporti tra titolare e responsabile del trattamento. Il responsabile è designato con un atto scritto che deve avere almeno i contenuti previsti nell’art. 28.3 del GDPR. Nell’atto di designazione andranno regolate le nomine di (sub)responsabili da parte dei responsabili del trattamento.
NB: la figura del “responsabile interno del trattamento”, nominata in molte organizzazioni prima dell’entrata in vigore del GDPR e compatibile con la definizione di responsabile del trattamento presente nella normativa previgente, non è compatibile con la nuova disciplina.
CONTITOLARE DEL TRATTAMENTO
GDRP – art. 26: 1. Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, […]
AMMINISTRATORE DI SISTEMA
Garante – Provvedimento sugli “Amministratori di sistema” del 27/11/2008 doc. web n. 1577499: Con la definizione di “Amministratore di sistema” si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
SOGGETTI DESIGNATI A COMPITI SPECIFICI
Codice D. LGS 196/2003 – art. 2-quaterdecies (Attribuzione di funzioni e compiti a soggetti designati):
1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
2. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.