Figure e compiti
Titolare del Trattamento
Il titolare è, secondo l’art. 1 lettera b della legge n. 675/96, colui al quale spettano le decisioni sulle finalità e sulle modalità del trattamento dei dati personali, ivi compreso il profilo della sicurezza. Il titolare pertanto può essere:
a) una persona fisica;
b) una persona giuridica, una pubblica amministrazione o un qualsiasi altro ente, associazione od organismo.
Per persona fisica deve intendersi l’individuo che effettua un trattamento “in proprio” (sempre che non utilizzi i dati per fini esclusivamente personali, alle condizioni previste dall’art. 3 della legge) e non, ad esempio, chi amministra o rappresenta una persona giuridica.
Nel caso in cui il trattamento sia effettuato a cura di una persona giuridica, di una pubblica amministrazione o di un qualsiasi altro ente, associazione od organismo, per “titolare” va intesa l’entità nel suo complesso (ad es. il ministero, l’impresa, la società, l’associazione, ecc.) e non la persona fisica che l’amministra o la rappresenta (ad es. il ministro, il direttore generale, il legale rappresentante, l’amministratore delegato, il presidente, ecc.). Nel medesimo caso occorre indicare sul modello la denominazione o la ragione sociale dell’organizzazione, anziché le generalità di tale persona fisica.
Responsabile del trattamento
All’interno della società, azienda o ente dovrà essere nominato una persona in qualità di Responsabile del trattamento, secondo l’art. 8 comma 1 della legge n. 675/96 e il DPR 318/99 “Il responsabile, se designato, deve essere nominato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza”, i cui compiti saranno:
- predisporre ed aggiornare, con cadenza annuale, un documento programmatico sulla sicurezza dei dati per definire, sulla base dell’analisi dei rischi, della distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati stessi;
- predisporre i criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza nonché le procedure per controllare l’accesso delle persone autorizzate ai locali medesimi;
- predisporre i criteri e le procedure per assicurare l’integrità dei dati;
- definire i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per le restrizioni di accesso per via telematica;
- elaborare un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi individuati e dei modi per prevenire danni;
- autorizzare i singoli incaricati del trattamento e della manutenzione, nel caso del trattamento di dati sensibili e giudiziari;
- garantire che tutte le misure di sicurezza riguardanti i dati della Società siano applicate all’interno ed eventualmente al di fuori della Società, qualora siano cedute a soggetti terzi quali “Incaricati del Trattamento”.