Titolare del trattamento
Responsabile del trattamento
Destinatario
Terza parte
Responsabile della protezione dei dati (DPO)
Autorità di vigilanza
Comitato europeo per la protezione dei dati (EDPB)
Garante europeo della protezione dei dati (GEPD)
Frédéric Tronnier (GUF)
Questa sezione ha lo scopo di spiegare i principali attori, cioè i ruoli che possono essere assegnati a individui, organizzazioni o altre entità nel GDPR. L’art. 4(7-10) definiscono diversi di questi attori mentre altri sono definiti più avanti nel GDPR[1]. Qui, questi attori saranno definiti al fine di chiarire i diversi compiti, diritti e responsabilità che ogni attore possiede. Per lavorare con i dati personali e rispettare il GDPR è necessario capire il ruolo che si assume quando si lavora con i dati personali. Un breve riassunto sui principali attori è fatto nella tabella 1. All’interno del corpo principale di questo documento, vengono forniti esempi pratici per illustrare l’interazione tra le diverse categorie di attori.
- Per informazioni più dettagliate sui principali attori: titolare del trattamento, responsabile del trattamento e titolari congiunti, si rimanda alle Linee guida del GEPD su questi attori. Linee guida del GEPD sui concetti di titolare del trattamento, resposnabile del trattamento e contitolare congiunto ai sensi del regolamento (UE) 2018/1725. Disponibile all’indirizzo: https://edps.europa.eu/sites/edp/files/publication/19-11-07_edps_guidelines_on_controller_processor_and_jc_reg_2018_1725_en.pdf (Ultima visita: 03.12.2020)
E Linee guida 07/2020 sui concetti di titolare e responsabile del trattamento nel GDPR. Disponibile sotto: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf (Ultima visita: 03.12.2020) ↑
| Attore | Soggetto dei dati | Titolare del trattamento | Responsabile del trattamento | Titolari del trattamento congiunti | Destinatario | Terza parte | Responsabile della protezione dei dati | Autorità di vigilanza |
| GDPR | Art.4(1) | Art.4(7) | Art.4(8) | Art.26 | Art.4(9) | Art.4(10) | Art.37 | Art.51 |
| Breve descrizione | Una persona fisica che può essere identificata direttamente o indirettamente attraverso i dati personali. | Qualsiasi entità che determina le finalità e i mezzi del trattamento dei dati personali. | Gestisce il trattamento dei dati personali per conto del titolare del trattamento. Non determina le finalità di questo trattamento. | Due o più titolare del trattamento che determinano congiuntamente le finalità e i mezzi di trattamento dei dati personali. | Qualsiasi entità a cui vengono comunicati i dati personali, ad eccezione delle autorità pubbliche che ricevono i dati personali in conformità con la legge. | Qualsiasi altra entità diversa dal titolare del trattamento, dal responsabile del trattamento, dall’interessato o dalle persone autorizzate al trattamento dei dati personali. | Persona fisica che agisce in modo indipendente all’interno di un’organizzazione per garantire la corretta applicazione del GDPR | Autorità pubblica indipendente istituita dagli stati membri dell’UE. Chiamate anche autorità di protezione dei dati (DPA). |
| Compiti | Nessun compito specificato nel GDPR. Gli interessati possono far valere i loro diritti di cui agli articoli 12-23 del GDPR. | Ha il controllo dei dati e decide cosa farne. Di solito vuole raggiungere un obiettivo con i dati. | Tratta i dati sotto le istruzioni del titolare del trattamento. | I compiti sono gli stessi di un (singolo) titolare del trattamento, ma vengono eseguiti da tutti i Titolari del trattamento congiunti insieme. | Non ha una parte attiva. Un destinatario è definito solo dal suo accesso ai dati personali. | Non ha una parte attiva. | Assicura che i diritti degli interessati siano protetti Gestisce e affronta i reclami. | Responsabile del monitoraggio e dell’applicazione corretta del GDPR. Promuove la consapevolezza sulle questioni relative al trattamento dei dati. Gestisce i reclami degli interessati. |
| Diritti / Responsabilità | Dotato di molti diritti come il diritto di rettifica, cancellazione, limitazione del trattamento, diritto di opposizione e diritto di accesso. | Deve garantire il rispetto del GDPR nel trattamento dei dati ed essere in grado di dimostrare che il trattamento dei dati personali viene eseguito in conformità con il GDPR. Deve implementare misure tecniche e organizzative appropriate per questo. | Agisce sotto l’istruzione del titolare del trattamento con un certo grado di libertà nella scelta dei metodi più adatti per il trattamento. Garantisce che il trattamento soddisfa i requisiti del GDPR. | I Titolari del trattamento congiunti devono determinare le loro rispettive responsabilità per il rispetto del trattamento dei dati Necessità di fornire un punto di contatto per gli interessati. | Nessun diritto e responsabilità. Diventerà un titolare del trattamento per qualsiasi trattamento che viene effettuato per i suoi scopi. | Riceve dati personali. Diventa titolare del trattamento per qualsiasi trattamento effettuato per i propri scopi. | Agisce in modo indipendente con un budget e risorse proprie Non deve essere in conflitto d’interessi, quindi non deve essere un titolare del trattamento o un responsabile del trattamento. | Applicare il GDPR. Può emettere avvertimenti e richiami, o vietare o limitare il trattamento dei dati personali da parte di altre entità. |
Tabella 1. Breve riassunto dei principali attori del PIL