Un responsabile del trattamento dei dati è un individuo o un'organizzazione che gestisce il modo in cui i dati vengono elaborati ed è responsabile del rispetto delle normative sulla protezione dei dati. Il titolare del trattamento, che sia una persona o un'intera azienda, è responsabile della redazione dell'informativa sulla privacy di un'organizzazione, che specifica quali dati raccoglie tale organizzazione, come utilizza i dati e dove invia i dati. I responsabili del trattamento dei dati gestiscono i responsabili del trattamento dei dati, dettando il modo in cui l'organizzazione analizza e utilizza i dati personali come informazioni di contatto, indirizzi e numeri di identificazione.
Il termine responsabile del trattamento dei dati fa riferimento in genere al regolamento generale sulla protezione dei dati (GDPR) e ai suoi requisiti per la protezione dei dati; questo ruolo ha avuto origine dalle leggi europee sulla protezione dei dati. Il GDPR ha richiesto i responsabili del trattamento dei dati quando ha stabilito requisiti rigorosi per l'uso dei dati personali nel 2018.
Requisiti per i responsabili del trattamento dei dati ai sensi del GDPR
Il GDPR, che si applica non solo all'intera Unione Europea ma anche a tutti i paesi che hanno aziende o clienti in Europa, è specificamente progettato per proteggere le persone e le loro informazioni personali. Pertanto, è estremamente rigoroso per le organizzazioni. Le aziende hanno dovuto affrettarsi per soddisfare i requisiti, comprese molte aziende degli Stati Uniti. I responsabili del trattamento dei dati hanno molte responsabilità; questi sono solo alcuni.
Il GDPR richiede che le aziende abbiano almeno una buona ragione per raccogliere i dati personali di qualcuno. Il responsabile del trattamento dei dati dell'azienda deve essere in grado di dimostrare questa buona ragione. I sei motivi o "basi legali" per la raccolta dei dati personali sono:
- Consenso, prestato all'azienda dall'interessato
- Contratto che viene stipulato tra un'organizzazione e un individuo e richiede dati personali
- Rispetto di un obbligo legale (dover fornire i dati di qualcuno al governo per legge)
- Protezione degli interessi vitali di un individuo
- Attività pubbliche che richiedono l'elaborazione di dati personali (un'organizzazione necessita di un indirizzo e-mail per seguire un cliente in merito a un servizio specifico)
- Protezione dell'interesse legittimo dell'organizzazione, tipicamente per scopi legali
I responsabili del trattamento dei dati devono anche conservare registrazioni dettagliate dei dati che raccolgono, dove li inviano e come li utilizzano. Devono avere quei record disponibili per iscritto. Se vendono dati a terzi, devono documentare esattamente chi e per quale scopo. Anche gli individui (o, come li chiama il GDPR, gli interessati) devono poter accedere a tali informazioni.
I titolari del trattamento devono inoltre rendere le loro informazioni di contatto prontamente disponibili agli interessati, che possono quindi contattare il titolare del trattamento per domande riguardanti i loro dati personali e come vengono utilizzati.
Il GDPR stabilisce i requisiti per le organizzazioni per nominare un responsabile della protezione dei dati (DPO): questa può essere responsabilità di un responsabile del trattamento dei dati. Un'organizzazione deve nominare un DPO se gestisce grandi quantità di dati sensibili (come una grande struttura medica o un istituto finanziario) o raccoglie regolarmente abbondanti quantità di dati, compreso il monitoraggio o la sorveglianza frequenti.
Requisiti del GDPR per le aziende statunitensi
Una nota importante per le aziende negli Stati Uniti: se le società statunitensi hanno clienti dell'UE, filiali di attività dell'UE, dipendenti dell'UE o anche una presenza nelle nazioni dell'UE, le normative GDPR sono effettivamente applicabili anche a loro. Il CCPA della California ha requisiti simili. Ciò significa che i requisiti di cui sopra per i responsabili del trattamento dei dati e possibilmente per i responsabili della protezione dei dati si applicano alle aziende statunitensi, nonché a qualsiasi azienda che abbia clienti dell'UE. Anche un'azienda negli Stati Uniti che ha una grande presenza online o una campagna di email marketing, come un grande magazzino, è probabilmente soggetta al GDPR perché è probabile che abbia clienti dell'UE online.