data controller e data processor

data controller e data processor

data controller e data processor

L’introduzione del nuovo regolamento generale europeo ha creato qualche problema nella traduzione dei termini, in quanto il termine data controller va tradotto, come stabilito dal Garante italiano, con titolare del trattamento, cioè colui il quale è responsabile per il trattamento medesimo. Questo ha creato qualche confusione col responsabile del trattamento, che invece più correttamente è la traduzione di data processor.
• Consenso dell’interessato (Consent): Si intende qualsiasi consenso liberamente dato, specifico, informato ed esplicito mediante dichiarazioni o azioni che implichino un accordo sul trattamento dei propri dati personali.
• Titolare del trattamento (Data Controller): L’entità/organizzazione che determina gli scopi, le condizioni e i metodi per il trattamento dei dati personali.
• Cancellazione dei dati (Data Erasure): Noto anche come il diritto all’oblio, autorizza l’interessato a far sì che il responsabile del trattamento cancelli i suoi dati personali, cessare l’ulteriore diffusione dei dati e potenzialmente impedire a terzi di elaborare i dati.
• Portabilità dei dati (Data Portability): Si tratta dell’obbligo, per i responsabili del trattamento, di fornire all’interessato una copia dei propri dati in un formato che consenta un facile utilizzo nei confronti di un altro soggetto.
• Elaboratore di dati (Data Processor): L’entità che elabora i dati per conto del Titolare del trattamento.
Uno dei benefici introdotti dal GDPR è quello di uniformare la terminologia a livello Europeo. Lo svantaggio però è quello che dovremmo adeguarci ai nuovi nomi abbandonando l’attuale schema del Dlgs 196/2003, tenendo conto anche della ovvia differenza linguistica.

D.Lgs.196/2003 
Titolare del trattamento
Responsabile del trattamento

GDPR

– Data Controller – Titolare del trattamento
– Data Processor – Responsabile del trattamento
– Joint Controller – Contitolare del trattamento
– Data Protection Officer (DPO) – Responsabile della Protezione dei Dati

La figura del vecchio ‘Titolare del Trattamento‘ corrisponde alla figura del Data Controller del nuovo regolamento, con l’unica differenza relativa all’ambito di applicabilità che è esteso a tutti gli Stati membri.
I Data Controller e Data Processor, già presenti nell’attuale normativa italiana, non sono più obbligati ad adottare le misure minime di sicurezza, ma sono tenuti ad “attuare misure tecniche e organizzativeadeguate tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”, di fatto implementando le misure di sicurezza per la mitigazione del rischio. Per dimostrare un adeguato livello di sicurezza e di aderenza allo standard potranno poi aderire ad un “approvato codice di condotta” o uno standard internazionale come le ISO, ancora da chiarire.
• Soggetto interessato / soggetto dei dati (Data Subject): Una persona i cui dati personali sono trattati da un responsabile del trattamento o da un elaboratore di dati personali – ossia, qualsiasi informazione relativa a una persona o “data subject”, che può essere utilizzata per identificare direttamente o indirettamente la persona.
• Pseudonimi (Pseudonymous Data) – A differenza dei dati personali, gli pseudonimi sono dati personali che possono essere modificati in modo tale che nessun individuo possa essere identificato tramite questi dati (direttamente o indirettamente) senza una “chiave” che permetta di re-identificare le informazioni.
• Diritto di accesso (Right to Access): Noto anche come Subject Access Right, autorizza l’interessato a disporre dell’accesso e delle informazioni sui dati personali in possesso di un Data Controller.
• Responsabile per la protezione dei dati (cd DPO / Data protection officer): Sia che l’elaborazione venga effettuata da un’autorità pubblica (fatto salvo per le corti o le autorità giudiziarie indipendenti agenti nella loro competenza giudiziaria), sia che venga effettuata in ambito privato, una persona esperta di legislazione e pratiche relative alla protezione dei dati deve assistere colui che controlla o gestisce i dati, al fine di verificare l’osservanza interna al regolamento.