La corretta individuazione dei ruoli e la regolamentazione dei rapporti tra i soggetti coinvolti nel trattamento sono fondamentali per l’applicazione del principio di accountability e per garantire la conformità al GDPR.
La distinzione chiara e documentata dei ruoli è un presidio essenziale per la compliance. Il Titolare mantiene la piena responsabilità del trattamento, mentre il Responsabile è tenuto a operare esclusivamente nel perimetro delle istruzioni ricevute, con obblighi diretti e cogenti. L’Accordo di Trattamento è lo strumento operativo chiave per definire, documentare e governare questo rapporto critico.
1. Individuazione dei Ruoli
I ruoli di Titolare e Responsabile sono funzionali, basati sull’attività concreta e non su mere designazioni formali. Chi determina il “perché” e il “come” del trattamento è il Titolare.
Titolare del Trattamento (Art. 4, par. 7): È il soggetto (persona fisica o giuridica, autorità pubblica) che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento. All’interno di un’organizzazione, il Titolare è l’ente giuridico stesso, non i singoli dipendenti o amministratori.
Contitolari del Trattamento (Art. 26): Quando due o più soggetti determinano congiuntamente finalità e mezzi del trattamento. La contitolarità non è automatica ma va verificata caso per caso e regolata da un accordo trasparente che ne definisca le rispettive responsabilità.
Responsabile del Trattamento (Art. 4, par. 8): È un soggetto esterno e distinto dal Titolare, che tratta i dati personali per conto di quest’ultimo, sulla base di istruzioni vincolanti. Un fornitore di servizi (es. società di hosting, consulenza payroll) è tipicamente un Responsabile.
Persone che agiscono sotto l’autorità del Titolare/Responsabile (Art. 29): Sono i dipendenti o collaboratori interni che, accedendo ai dati, non assumono un ruolo autonomo ma agiscono sotto la diretta autorità del Titolare o del Responsabile.
2. Responsabilità del Titolare del Trattamento
Il Titolare ha la responsabilità primaria di dimostrare la conformità al GDPR (principio di accountability). Deve:
Determinare finalità e mezzi del trattamento in modo lecito, corretto e trasparente.
Implementare misure tecniche e organizzative adeguate per garantire e dimostrare la conformità.
Scegliere Responsabili che offrano garanzie sufficienti in termini di competenza, affidabilità e risorse.
Vigilare sul trattamento e supervisionarne lo svolgimento.
3. Obblighi del Responsabile del Trattamento
Il Responsabile, pur agendo per conto del Titolare, ha obblighi diretti sanciti dal GDPR:
Agire solo su istruzioni documentate del Titolare. Se inizia a determinare proprie finalità, diventa a sua volta Titolare per quel trattamento illecito.
Implementare misure di sicurezza adeguate (Art. 32).
Garantire la riservatezza del personale autorizzato.
Tenere un registro delle attività di trattamento (Art. 30).
Cooperare con il Titolare e segnalare violazioni dei dati senza ingiustificato ritardo (Art. 33).
Assistere il Titolare nel rispondere alle richieste degli interessati e negli obblighi di Valutazione d’Impatto.
Informare il Titolare se ritiene che un’istruzione ricevuta violi il GDPR.
4. L’Accordo di Trattamento (Art. 28)
Il rapporto deve essere regolato da un contratto o altro atto giuridico (Accordo di Trattamento) che vincoli il Responsabile al Titolare. L’accordo non deve essere una mera ripetizione del GDPR, ma deve specificare in dettaglio:
Oggetto, durata, natura e finalità del trattamento.
Tipologia di dati personali e categorie di interessati (specificandole, es. “clienti”, “dipendenti”).
Obblighi e diritti del Titolare (es. diritto di effettuare audit, obbligo di fornire istruzioni).
Garanzie di sicurezza implementate dal Responsabile.
5. Sub-Responsabile del Trattamento
Il Responsabile può avvalersi di un sub-responsabile solo con autorizzazione scritta (specifica o generale) del Titolare.
In tal caso:
Deve essere stipulato un accordo con il sub-responsabile che imponga gli stessi obblighi previsti dall’accordo tra Titolare e Responsabile.
Il Responsabile principale risponde pienamente verso il Titolare per le azioni del sub-responsabile.
