GDPR: Titolare, Responsabile, Addetto

25 febbraio 2020Ultimo aggiornamento 22 giugno 2020
Tempo di lettura stimato: 8'

Gli attori del GDPR: titolare, interessato, responsabile e addetto

In questo articolo vediamo quali sono alcuni degli attori del GDPR: interessato, titolare del trattamento, responsabile esterno e addetto. Ma prima ho una premessa importante da fare: quello che leggerai nei prossimi paragrafi è forte
Chi segue i miei corsi e mi conosce, sa che uso poco il linguaggio giuridico. Sono schietto. Gioco sui doppi sensi. Il mio stile è ironico, a tratti eccessivo. Sono spesso irriverente. Può piacere o non piacere, ma ho scelto di comunicare così perché credo che solo con gli esempi concreti il messaggio sia più immediato. Perché il concetto di protezione dei dati deve arrivare
Deve arrivare per il bene di tutti


Sono diretto perché credo che i dati delle persone siano una delle cose più importanti che hanno. Perché il mondo è complesso, la tecnologia è complessa e noi esseri umani siamo sempre un passo indietro, rischiamo di perderci e se non difendiamo la nostra identità, le nostre scelte – i nostri dati personali – ne perderemo il controllo.


Il Regolamento europeo è un tassello importante, perché ci costringe ad essere consapevoli di quello che stiamo facendo, dei dati che stiamo trattando e di come li stiamo trattando. Il GDPR lo chiama accountability: responsabilità competente e consapevole.
È la responsabilità nel senso più profondo del termine, come un genitore è responsabile dei propri figli. Per crescerli non basta mandarli a scuola, guardarli giocare, metterli a letto e sfamarli. Vanno protetti. La stessa cosa deve avvenire con i dati delle persone. Quindi, con questo articolo non intendo svilire il GDPR, le norme sulla protezione dei dati e tutto il lavoro fatto finora, anzi, ma ho pensato molto a come poter trasmettere in modo semplice i concetti di titolare, responsabile, addetto e interessato, affinché fosse chiara la differenza tra i vari ruoli e la responsabilità in capo a ciascuno. Perché i termini legali sono per gli addetti ai lavori. Imprenditori, professionisti ed enti non sempre riescono a cogliere fino in fondo il significato di queste figure e l’unico esempio davvero efficace che ho trovato per spiegare in cosa sono diversi gli attori del GDPR è dissacrante, fuori dai miei soliti canoni di irriverenza. 
È quello del club degli scambisti.


Gli attori principali del GDPR: titolare e interessato 

Secondo la legge, il titolare del trattamento è il soggetto - azienda, ente, professionista - a cui fa capo un intero processo di trattamento dei dati personali. Il titolare tratta i dati dell’interessato, cioè della persona a cui si riferiscono le informazioni, con l’obbligo di proteggerli, ridurre al massimo i rischi che potrebbero correre e garantire i diritti di chi li ha lasciati. L’interessato, a sua volta, accetta di affidare al titolare i propri dati, consapevole dei limiti entro i quali li userà, quindi sulla base di una informativa. Dunque, il rapporto tra i due deve fondarsi su consapevolezza, responsabilità e chiara adesione al trattamento dei dati. 


Titolare e interessato sono entrambi consenzienti e consapevoli

Nel mio esempio dissacrante i due attori principali sono Titolare e Interessato. 
Titolare è un uomo (il marito), Interessato è una donna (la moglie) [nota a piè di pagina], mentre i trattamenti di dati personali sono i punti in cui l’uomo può entrare nel corpo di lei. Titolare e Interessato si recano in un club per gli scambi di coppia. Un club aperto solo a chi rispetta le regole: essere consapevoli di quello che si sta per fare, consenzienti, usare le adeguate protezioni (fuor di metafora: adottare le contromisure necessarie per avere un rischio residuale basso). Qui possono verificarsi diverse situazioni, che a loro volta possono implicare un’ulteriore richiesta di consenso della moglie (interessato) e diversi gradi di controllo da parte del marito (titolare).
La prima situazione è la più classica: marito e moglie, pienamente consapevoli di quello che stanno facendo e consenzienti, hanno un rapporto intimo “tradizionale”.. utilizzando posizioni canoniche (ad esempio alla missionaria). Non ci sono altre persone intorno a loro, sono solo loro due. In questo caso, il titolare è un titolare autonomo, che può disporre dei trattamenti sull’interessato senza chiedere ulteriori consensi. Infatti, dal momento che hanno scelto entrambi avere un rapporto “canonico”, quel tipo di posizione, di punto di entrata, di finalità del marito nei confronti della moglie è ovvio e implicito. 

Moglie e Marito - Titolare e Responsabile

Se però lui vuole un rapporto di altro tipo, magari meno canonico, usando altri punti non usati mai prima non può farlo senza aver chiesto prima il consenso di lei.

Titolare e responsabile - Moglie e Marito

Facciamo un esempio calato nella realtà aziendale 

Antonio è appassionato di automotive. Decide di acquistare un’auto dalla concessionaria della casa automobilistica XYZ. Sceglie optional, finiture e colore. Lascia consapevolmente i suoi dati all’azienda – che a sua volta gli ha mostrato un’informativa in cui specifica che verranno trattati solo per l’acquisto della vettura - perché sa che sono necessari per ottenere l’auto che desidera. Se XYZ gli proponesse di aderire al programma fedeltà per prenotare in anteprima i test drive dei nuovi modelli, ricevere promozioni e partecipare alle serate di lancio delle vetture in arrivo, dovrebbe chiedere un consenso ulteriore. 


Titolare (autonomo), più titolari (autonomi) e co-titolarità

In alcuni casi particolari può accadere che i titolari del trattamento siano più di uno
A volte sono titolari (autonomi) (ciascuno nei limiti del suo trattamento), altre volte invece sono co-titolari e si ricade quindi nell’articolo 26 del GDPR. Non è semplice capire la differenza fra le due situazioni. Torniamo al mio esempio dissacrante per fare chiarezza.
Abbiamo visto che quando ci sono solo Titolare (marito) e Interessato (moglie), il titolare è un titolare (autonomo). È la relazione di coppia classica. Ora prendiamo un’altra situazione: non ci sono solo marito e moglie, ma c’è anche una terza persona, un altro membro del club di scambisti, ed hanno un rapporto a tre.
Quando marito e compagno di giochi agiscono nello stesso momento, ma accedono a due zone differenti del corpo di lei, sono due titolari (autonomi) sullo stesso interessato, quindi trattano gli stessi dati ma da punti di vista diversi


Titolare responsabile e Addetto

I co-titolari invece sono titolari che, sullo stesso interessato, fanno esattamente gli stessi trattamenti. Nel nostro esempio del club di scambisti, marito e compagno accedono alla moglie esattamente dallo stesso punto.
 
Responsabile, Titolare e Addetto

La co-titolarità è un caso abbastanza raro – non tutti gli interessati sono disposti ad accettare che due titolari trattino i dati nello stesso momento e nello stesso modo - e deve essere dichiarato preventivamente


Facciamo un esempio calato nella realtà aziendale 

L’azienda e il medico del lavoro sono un classico esempio di titolari autonomi sullo stesso interessato, perché fanno trattamenti sulla stessa persona (dipendente), ma in autonomia e da diversi punti di vista. L’azienda si concentra solo su alcuni trattamenti – per esempio quelli necessari per la sicurezza del lavoro – e non può fare altri trattamenti che sono invece di competenza del medico: anamnesi, esami, prescrizioni e così via. Il medico è anche responsabile esterno per alcuni trattamenti che l’azienda gli dà da gestire come, ad esempio, la comunicazione di idoneità a certi tipi di lavoro.
La co-titolarità, invece, si può verificare quando due aziende stringono una partnership e partecipano insieme ad una fiera. Condividono lo stand e decidono che i dati raccolti per ricontattare i potenziali clienti possono essere usati da entrambe le aziende per inviare newsletter promozionali. Quindi lo stesso interessato viene contattato per la stessa finalità di trattamento, da due aziende differenti.
E che differenza c’è con il responsabile esterno?
È un altro caso ancora.


Il responsabile esterno del trattamento 

Secondo il GDPR, il responsabile esterno è un'altra organizzazione – azienda, professionista o ente - designata dal titolare per operare materialmente con i dati personali da lui raccolti, secondo le finalità comunicate all’interessato. 
Tornando al mio esempio del club di scambisti, anche in questo caso ci sono tre soggetti: Titolare (marito), Interessato (moglie) e Responsabile Esterno (compagno di giochi). La differenza rispetto ai casi precedenti è che il marito - dopo aver dato il consenso al compagno di giochi ed averlo edotto sui modi e sui trattamenti da effettuare sulla moglie - sta guardare, ed eventualmente interviene se vede che lo cose non vanno nel giusto modo, dirige le azioni del compagno mentre è in compagnia della moglie. Dunque, non è parte attiva del trattamento ma è il titolare che decide quali trattamenti può fare il responsabile esterno, con il consenso consapevole dell’interessato. 
La condicio sine qua non è sempre la stessa: il responsabile esterno per entrare nel club deve dimostrare di aver adottato tutte le precauzioni e quindi deve trattare dati sotto il controllo del titolare, adottando le necessarie contromisure perché il rischio residuale sui dati trattati sia basso e con il consenso della persona che gli affida le sue informazioni personali. 

Titolare, Responsabile, Addetto

Facciamo un esempio calato nella realtà aziendale 

La banca XYZ si rivolge all’azienda ABC, specializzata in sondaggi di customer care, per telefonare ai correntisti che hanno appena stipulato un mutuo in una delle sue filiali e chiedere la loro opinione sul servizio: qualità della consulenza, rapidità nella gestione della pratica, cortesia del personale e così via. La banca è titolare del trattamento e ABC è il responsabile esterno, che si limita ad utilizzare alcuni dati personali dei correntisti solo per la finalità di raccogliere la loro opinione e trasmetterla alla XYZ che è e resta titolare del trattamento. 


Addetto al trattamento dei dati 

Ultimo attore: l’addetto al trattamento. Chiamato anche incaricato, è un'ulteriore figura che era già presente nella 196. L’addetto è una persona fisica, cioè chi - all’interno dell’organizzazione o all’esterno – ha il compito di gestire quotidianamente i dati: la segretaria, l’amministrativo che invia le buste paga, la persona incaricata del data entry nell’anagrafica clienti e così via. Il GDPR non prevede espressamente questa figura, ma non la esclude, infatti fa riferimento a "persone autorizzate al trattamento sotto l’autorità diretta del titolare o del responsabile". Chiunque all'interno o all'esterno dell'organizzazione svolga questa attività dovrà essere sempre adeguatamente informato e quindi formato su come trattare i dati operativamente.
Nel mio esempio l’addetto è lo strumento che il marito - o il compagno a seconda del tipo di rapporto – usa quando accede alla moglie. È quindi lo strumento organizzativo che il titolare del trattamento, i co-titolari – e nel caso anche il responsabile esterno - usano per mettere materialmente in atto il trattamento. 
Come tutti gli strumenti devo, prima di usarlo, verificarne impatti, difficoltà e problematiche per non indisporre l’interessato.


Conclusioni - Titolare e Responsabile

In conclusione

Titolari e co-titolari sono i soggetti che dirigono e definiscono i limiti del trattamento. Devono agire con il consenso dell’interessato adottando contromisure - nella loro organizzazione, a livello di infrastruttura informatica e con la formazione di addetti e responsabili esterni - perché il rischio per i dati trattati sia basso. A loro volta addetti e responsabili esterni devono attenersi alle indicazioni del titolare, i secondi con il dovere di dimostrare la loro accountability. Infine, anche chi lascia i propri dati deve agire cum grano salis. Deve informarsi e sapere come verranno trattate le sue informazioni personali, perché è nel suo interesse. 
*È disponibile a richiesta la mappature titolari, co-titolari e responsabili con le categorie di Youporn
(☺)
[NOTA]A scelta ruoli e generi possono essere sostituiti dal lettore come più gli è congeniale, il gioco rimane pressochè uguale.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è socio fondatore e CEO di PRIVACYLAB SRL, azienda che si occupa della produzione di PRIVACYLAB GDPR per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy