La valutazione del grado di tutela dei dati di cui al Gdpr passa necessariamente dalla misura della capacità che un’azienda ha di affrontare un imprevisto, operando sulla previsione dei rischi connessi alla propria attività.
Al verificarsi di un guaio, grande o piccolo (pensiamo ad un cyberattacco, ad un problema al server o ad un qualunque guasto di carattere tecnico) il pericolo che un’azienda corre è quello di subire, a causa dell’interruzione, una perdita di dati o un blocco del sistema di lavoro.
Se l’interruzione è un evento da evitare, il backup è quell’insieme di procedure e strumenti che consente di non perdere i dati. La business continuity, a sua volta, comprende procedure, strumenti e abitudini che consentono di non subire uno stop, oltre a non rischiare di perdere i dati: ciò significa poter continuare a lavorare, nonostante il verificarsi di un problema, o riuscire a limitare le conseguenze di un’interruzione.
Questa premessa è doverosa per introdurre un tema centrale: gli attori del trattamento dei dati personali. Si tratta, infatti, di definire, in base alle regole ed alle istruzioni impartite, chi agisce nel campo della preziosa tutela dei dati personali, ovvero coloro che, con il loro comportamento, sono decisivi anche nel caso di un evento imprevisto, che può mettere in pericolo quelle informazioni.
Il titolare del trattamento dei dati è la persona, fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
Il titolare ha l’obbligo di:
Il titolare del trattamento decide autonomamente in ordine alle modalità del trattamento dei dati. E’ possibile anche la contitolarità del trattamento: ciò avviene quando due o più titolari del trattamento ne determinino congiuntamente le finalità e i mezzi.
In quest’ultimo caso, determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal Gdpr.
Il responsabile del trattamento dei dati è la persona, fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. E’ designato dal titolare con un contratto o con un altro atto giuridico idoneo a vincolare questa figura nei confronti del titolare.
Questo contratto deve necessariamente disciplinare:
Nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile, è consentita la nomina di sub-responsabili del trattamento da parte di un responsabile per specifiche attività di trattamento. Il responsabile risponde dell’inadempimento dell’eventuale sub-responsabile. Esso è esonerato dalla responsabilità solo se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
Come si è visto, il regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento. Inoltre, pur non prevedendo espressamente la figura dell’incaricato al trattamento, il Gdpr (al numero 10 dell’articolo 4) non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”.
Il responsabile della protezione dei dati personali, definito anche Data protection officer, è un’altra figura prevista dal Gdpr.
Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del regolamento stesso. Coopera con l’autorità (per questo il suo nominativo va comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.
Il Dpo ha il compito di analizzare, valutare e disciplinare la gestione del trattamento e della salvaguardia dei dati personali all’interno di un’azienda, secondo le direttive imposte dalle normative vigenti: potrà essere un soggetto interno (dipendente o collaboratore) o esterno (società di consulenza) e dovrà possedere competenze, sia in aree giuridiche, sia informatiche e un’ampia conoscenza del Regolamento GDPR.
Vuoi leggere altri approfondimenti? Ecco cosa offre il nostro Blog:
Inizia con il piede giusto e scopri le best practice per garantire la tutela dei dati e la continuità operativa alla tua impresa attraverso le strategie aziendali.