.jpg)
Il GDPR definisce due differenti soggetti, usando per entrambi la medesima terminologia di responsabile, ma con due diverse specificazioni: uno è il Responsabile del Trattamento, l’altro è il Responsabile della Protezione dei Dati personali anche definito con l’acronimo italiano RPD o con quello inglese DPO (che sta per Data Protection Officer, appunto Responsabile della Protezione dei dati).
Figura ancora diversa è poi il Responsabile del trattamento designato all’interno di un’azienda in base al vigente D. Lgs. n. 196/2003.
Prima di chiarire precisamente compiti e funzioni di queste figure, riportiamo 4 postulati da tenere bene a mente:
- Responsabile della Protezione dei Dati personali (DPO o anche detto RPD) e Responsabile del trattamento sono due figure diametralmente diverse, con ruoli diversi, responsabilità diverse e compiti diversi, disciplinate dal GDPR in articoli e disposizioni diverse;
- Il Responsabile della Protezione dei Dati personali NON è il Responsabile del trattamento previsto dal GDPR;
- Il Responsabile del trattamento secondo la disciplina del D. Lgs. n. 196/2003 nominato internamente NON è il Responsabile della Protezione dei Dati personali (DPO o RPD, che dir si voglia);
- Il Responsabile del trattamento previsto dal GDPR NON è il Responsabile del trattamento disciplinato dal D. Lgs. n. 196/2003
Responsabile del trattamento in base al GDPR
Il responsabile del trattamento è definito dal Regolamento UE all’art. 4 lett. g, come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Quindi, se il titolare del trattamento esternalizza un servizio affidandolo ad un soggetto terzo e nell’ambito di tale servizio gli affida anche dati personali, il soggetto terzo che svolge il servizio per conto del titolare è il responsabile del trattamento, ma non è tutto così scontato.
Riportiamo di seguito degli esempi per meglio comprendere tale ruolo.
Esempio 1. ...