Il capo I ("Disposizioni generali") del GDPR contiene all'
art. 4, nell'ambito delle definizioni, il riferimento alle figure soggettive a vario titolo coinvolte nel trattamento dei dati personali
nota1.
- anzitutto al n. 7 si fa menzione del "titolare del trattamento" come della persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;
- b) al n. 8 della norma si cita il "responsabile del trattamento", vale a dire la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
- al n. 17 viene introdotta la nozione del "rappresentante", che si identifica con la persona fisica o giuridica stabilita nell'Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell'art. 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento nota2;
- ) al n. 9 è definito "destinatario" la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;
- e) al n. 10 infine viene qualificato come "terzo" la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile.
Note
nota1
Il Titolo IV della prima parte del t.u. in materia di privacy contemplava analogamente i medesimi soggetti le cui definizioni erano funzionali all'applicazione di tutta la normativa portata dal testo unico, possedendo una valenza generale.
Il
titolare del trattamento era curiosamente definito dall'
art. 28 t.u. in relazione all'eventualità in cui il procedimento relativo ai dati fosse effettuato da un'entità differente rispetto ad una persona fisica. Infatti la norma riferiva che, quando il trattamento era effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento
è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. L'
art. 29 del t.u. considerava inoltre la figura del
responsabile del trattamento.
Costui era designato dal titolare facoltativamente, nel senso che quest'ultimo ben poteva concentrare su di sé i relativi compiti. Se designato, il responsabile doveva essere individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Il responsabile doveva effettuare il trattamento attenendosi alle istruzioni impartite dal titolare. Costui era tenuto a controllare che l'attività si svolgesse regolarmente: il titolare infatti, anche tramite verifiche periodiche, doveva vigilare sulla puntuale osservanza delle disposizioni di cui alla norma e delle proprie istruzioni.
top1 nota2
La figura del "rappresentante" di cui al GDPR non può dirsi sovrapponibile a quella del
semplice incaricato del trattamento di cui all'
art. 30 del t.u. che poteva svolgere
le relative operazioni solo operando sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.
Da ciò si desume va che i compiti dell'incaricato fossero semplicemente attuativi e non di concetto, dovendo la responsabilità per l'adozione delle relative disposizioni incombere sul responsabile o sul titolare.
La designazione doveva comunque essere effettuata per iscritto, individuando puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima.
top2