Le figure privacy disciplinate nel Codice privacy sono:
il titolare: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza (art. 4, lett. f);
il responsabile: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali (art. 4, lett. g);
gli incaricati: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile (art. 4, lett. h);

Ai sensi dell’art. 28, il titolare esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza.
Il responsabile, designato dal titolare facoltativamente, è invece individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art. 29).
Quanto agli incaricati, da ultimo, gli stessi effettuano le operazioni di trattamento se sotto la diretta autorità del titolare o del responsabile ed attenendosi alle istruzioni impartite. La loro designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito (art. 30).

Il regolamento UE a sua volta individua e disciplina:
– il titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;
– il responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
– il terzo: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.
Pur non prevedendo espressamente la figura dell’ “incaricato” del trattamento (ex art. 30 Codice), il Regolamento fa riferimento alle “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile“.

Il regolamento UE all’art. 28, ma così pure l’art. 29 del vigente Codice privacy (novellato dalla Legge Europea 2017) hanno previsto che il titolare non si limiti più alla sola nomina dei responsabili esterni del trattamento, ma sottoscriva con questi ultimi un “atto giuridico scritto” che disciplini e preveda la natura, la durata e le finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento.

Nomina del Data Protection Officer (art. 37)
Il Data Protection Officer (D.P.O.), è senza dubbio una delle più rilevanti novità introdotte dal nuovo regolamento UE.
Si tratta di un professionista con competenze giuridiche, informatiche, di risk management e di analisi dei processi.
La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali all’interno di un sistema privacy.
Il Regolamento, al primo comma dell’art. 37, prevede che “1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.”.
Per l’effetto, obbligati alla nomina di un D.P.O. sono senz’altro le “Autorità pubbliche o gli organismi pubblici”.
Ma altresì obbligati sono i privati quando le loro attività principali consistano in trattamenti che richiedono il «monitoraggio regolare e sistematico» di interessati su larga scala o in trattamenti su «larga scala» di «dati particolari» o «dati penali».
Gli incisi “monitoraggio regolare e sistematico degli interessati su larga scala” e “trattamento su larga scala” non hanno ad oggi ancora trovato un’interpretazione univoca; sul punto, il “Gruppo di lavoro Articolo 29 per la protezione dei dati” ha emanato le “Linee guida sui responsabili della protezione dei dati” specificando che per monitoraggio sistematico dovrà intendersi il monitoraggio di dati che avvenga in modo continuo e organizzato e che sia svolto nell’ambito di una specifica strategia; mentre per trattamento su larga scala dovrà intendersi il trattamento che abbia ad oggetto un ampio volume di dati.
Si attende tuttavia un’ulteriore specificazione sul punto.
Per maggiori delucidazioni si rinvia quindi alle Linee Guida del Gruppo Art. 29 disponibili alla pagina “I provvedimenti del Garante e linee guida” (si veda: http://privacyinrete.it/i-provvedimenti-del-garante/).

Il D.P.O. dovrà assolvere i compiti elencati all’art. 39, comma 1, del regolamento UE:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo; e
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.