Il Regolamento europeo in materia di Trattamento dati Personali (GDPR) prevede figure che non erano contemplate nella precedente normativa in materia di privacy (D.l.196/2003) ed appare opportuno tentare di fare chiarezza per evitare fin troppo facili fraintendimenti. Deve premettersi che l’intero sistema ruota sulla figura e sulla tutela dell’INTERESSATO; vale a dire quel soggetto che mette a disposizione di un’azienda, pubblica o privata, o comunque di altri, i propri dati personali e a cui il GDPR riconosce chiari diritti: i principali destinatari dell’intero complesso normativo sono infatti i TITOLARI del trattamento.

Il Titolare del trattamento (data controller), ai sensi dell’art. 4 GDPR, è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

Obblighi e doveri del titolare del Trattamento:
In parole semplici il titolare è la persona fisica, giuridica, ente pubblico, libero professionista o altro che, nello svolgimento della propria attività, deve necessariamente ricevere i dati personali di coloro con cui viene in contatto (clienti, fornitori, dipendenti, collaboratori): per tali dati dovrà effettuare il trattamento senza ricevere istruzioni da altri. Il Titolare è infatti colui che decide "perché" e “come" devono essere trattati i dati. È in sintesi il soggetto destinatario principale della norma: sono sue prerogative la scelta di come effettuare la raccolta dei dati, il loro immagazzinamento, ogni forma di trattamento ad iniziare dalla conservazione degli stessi. Sarà sempre sua responsabilità l’adempimento agli obblighi che gli derivano dalla norma al fine di permettere all’interessato di esercitare i propri diritti (oblio, trasferibilità, controllo ecc..).
È il titolare che decide il motivo e le modalità del trattamento, ed è responsabile giuridicamente dell'ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali: tra gli obblighi è compreso quello di notifica al Garante nei casi previsti. Ed è infine sempre il titolare colui che è soggetto alle pesanti sanzioni previste in caso di mancata ottemperanza al GDPR, nonché in caso di perdita dei dati o accesso illecito di terzi agli stessi (l’ipotesi dell’hacker che sottrae o cripta il computer della sua vittima).

Dalla lettura della norma, nei suoi 173 “considerata” e 99 articoli, emerge come la figura del Titolare sia sostanzialmente quella di ogni titolare o legale rappresentante di un’azienda (con le ovvie e logiche differenze per le persone giuridiche) e ben possa essere identificato in ogni singolo imprenditore, anche il più piccolo. Può sembrare un paradosso, ma anche chi ripara scarpe tratta i dati personali dei propri clienti avendo nel proprio cellulare i loro numeri di telefono, il numero di piede e, magari, un indirizzo fisico o email. Elementi sufficienti, ad esempio, perché un’azienda che opera su internet, venutane in possesso, possa indirizzare verso quel determinato cliente messaggi pubblicitari targettizzati. E se ciò può manifestarsi nel piccolo è facile immaginare quando aumentino le dimensioni di un’azienda.

Ma chi è quindi esente dall’applicazione del GDPR?
Sono esentati i trattamenti che rientrano in attività di esclusiva competenza degli Stati membri quali sicurezza nazionale, politica estera e difesa comune dell’UE. Fuori dal raggio d’azione del GDPR si collocano anche i trattamenti in ambito penale e per finalità di indagine da parte delle autorità competenti. Sono poi esclusi i casi di trattamento dati puramente personale da parte di persone fisiche, quali la posta privata, cartacea o elettronica e l’uso personale di social network. Sorgono comunque, relativamente a questa ultima indicazione, non pochi dubbi. Basti pensare se il social network venisse usato anche per scopi aziendali, cioè se, ad esempio, alle amicizie su Facebook venissero inviate offerte commerciali.