Uno dei benefici introdotti dal GDPR è quello di uniformare la terminologia a livello Europeo. Lo svantaggio però è quello che dovremmo adeguarci ai nuovi nomi abbandonando l’attuale schema del Dlgs 196/2003, tenendo conto anche della ovvia differenza linguistica.
Lgs.196/2003 GDPR
Titolare del trattamento Data Controller – Titolare del trattamento
Responsabile del trattamento Data Processor – Responsabile del trattamento
– Joint Controller – Contitolare del trattamento
– Data Protection Officer (DPO) – Responsabile della Protezione dei Dati
La figura del vecchio ‘Titolare del Trattamento‘ corrisponde alla figura del Data Controller del nuovo regolamento, con l’unica differenza relativa all’ambito di applicabilità che è esteso a tutti gli Stati membri.
I Data Controller e Data Processor, già presenti nell’attuale normativa italiana, non sono più obbligati ad adottare le misure minime di sicurezza, ma sono tenuti ad “attuare misure tecniche e organizzative” adeguate tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”, di fatto implementando le misure di sicurezza per la mitigazione del rischio. Per dimostrare un adeguato livello di sicurezza e di aderenza allo standard potranno poi aderire ad un “approvato codice di condotta” o uno standard internazionale come le ISO, ancora da chiarire.
La figura del Joint Controller – Contitolare del Trattamento invece non è attualmente prevista dalla normativa Italiana. Di fatto per un singolo trattamento di dati personali potranno esistere due responsabili del trattamento e di conseguenza, a seguito di un danno, il Responsabile del Trattamento potrebbe rifarsi sul contitolare del trattamento, introducendo un nuovo livello di complessità nell’assegnazione delle responsabilità. Dovrà essere quindi prevista la stipula di una contratto che disciplina la gestione e il governo dei Dati, allargando lo scope dal mondo dei controlli e misure tecnologiche IT a quello legale e contrattuale.
Il Data Protection Officer (DPO) è la nuova figura introdotta dalla norma per il presidio della privacy e della protezione dei dati personali, obbligatoria per le PP.AA. e per le aziende con trattamenti su larga scala. Fra i suoi compiti sono riportati i controlli e le attività di monitoraggio, internamente alla struttura in cui opera e l’obbligo di tenuta di documentazione. Inoltre è la figura titolata a collaborare con l’autorità di controllo e fungere da punto di contatto per l’autorità.