Un’attenta lettura del GDPR, porta a riflettere sul peso e sulla portata delle parole, sia di quelle che vi sono contenute, sia quelle che non sono al suo interno. In particolare, ma questo sarà oggetto di più una più approfondita analisi, la parola privacy; sia nel testo inglese che in quello tradotto in italiano, a dimostrazione che non stiamo parlando della riservatezza, bensì di altro. 

Si reputa necessario quindi un piccolo resume in merito a queste figure.

Venendo a trattare delle figure previste dal Regolamento Europeo, vediamo come ne siano previste soltanto tre, che si aggiungono a quella dell’Interessato, cioè il legittimo proprietario e titolare de facto di quanto affidato al TITOLARE come definito dalla norma. Sul punto si potrebbe obiettare che sarebbe stato meglio tradurre in maniera diversa il termine “controller”, che viene usato nel testo inglese del Regolamento, ma limitiamo a prenderne atto senza però poterci esimere dal rilevare che altre imperfezioni di traduzione rendono talvolta più complicata la comprensione e, di conseguenza, anche l’applicazione della norma.

Il Titolare è “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. E’ colui che decide e gestisce in prima persona le policy e le modalità di protezione dei dati che deve necessariamente detenere per lo svolgimento della propria attività. E’ lui che decide le misure organizzative e tecniche di protezione; deve far rispettare i principi fissati dal GDPR, in particolare la correttezza e trasparenza del trattamenti, il rispetto delle finalità e la riservatezza. In ogni caso il Titolare ha la possibilità di cooperare con dei contitolari, le cui mansioni dovranno essere ben definite con documenti scritti anche ai fini dell’opponibilità verso l’estero e terzi.

Il GDPR prevede la figura del Responsabile Esterno, Processor nel testo inglese, cioè figure esterne alla struttura del Titolare che intervengono nel trattamento dei dati per conto di quest’ultimo. Appartengono a questa categoria, a titolo di esempio, il consulente che redige la busta paga dei dipendenti, un commercialista o, in caso, anche un avvocato per quanto di sua competenza nell’esecuzione di un mandato professionale. Particolare attenzione in merito al Responsabile Esterno deve andare alla sua nomina: questa deve avvenire in forma scritta, mediante un documento che disciplina, tra tra l’altro, anche la durata, natura e finalità del trattamento. Il Responsabile Esterno deve assistere il titolare in caso di richieste relative all'esercizio dei diritti dell'interessato.

Il GDPR prevede inoltre la presenza di sub responsabili per particolari attività sulla base di obblighi contrattuali specifici.

Figura nuova, introdotta dal GDPR è quella del D.P.O. (Data Protection Officer), che non va confuso con Responsabile Esterno. Si tratta di una professionalità specifica che ha il compito di fornire consulenza alle precedenti figure professionali, così come a tutti i soggetti coinvolti nel processo di trattamento dei dati aziendali. Di questo soggetto non basterebbero volumi per parlarne: in questa sede è comunque fondamentale porre in evidenza come il DPO non possa essere interno alla struttura aziendale, perché non può essere in posizione di conflitto di interessi con questa, neppure al livello potenziale. E’, in termini semplici, ma non esaustivi il “guardiano” della privacy e deve collaborare anche con le autorità garanti.

Altre figure che sono connesse alla protezione dati in azienda non sono previste dal GDPR, ma sono i ogni caso presenti e necessarie. Si tratta degli incaricati (data handler) e degli amministratori di sistema. Quanto ai primi si tratta, ad esempio, di addetti di segreteria o altre figure che collabora all’interno della struttura. Questi soggetti dovranno essere istruiti adeguatamente. Gli amministratori di sistema sono i tecnici che gestiscono l’architettura informatica e hanno competenza sugli aspetti normativi. Si occupano della gestione e delle funzioni della rete, sia Intranet che Internet.