Chi è al timone in materia di protezione dei dati?

Il titolare del trattamento, ai sensi della normativa sulla protezione dei dati, è l’azienda che decide le finalità e le modalità del trattamento dei dati personali. Il responsabile del trattamento, invece, elabora questi dati esclusivamente su incarico del titolare del trattamento e secondo le sue istruzioni.  

Titolare del trattamento o responsabile del trattamento: un’analogia marittima

Per rendere meglio comprensibili questi ruoli, è utile far riferimento ad un’analogia tratta dal mondo della navigazione: il capitano determina la rotta, le regole da seguire e si assume la responsabilità generale del viaggio e della sicurezza a bordo. L’equipaggio esegue le istruzioni del capitano, governa la nave e svolge  compiti organizzativi e tecnici, ma generalmente non ha ampi poteri decisionali. In pratica, questo significa che: in qualità di titolare del trattamento, si stabilisce perché e come debbano essere trattati i dati personali, sia per finalità di marketing, gestione delle risorse umane o assistenza clienti. Il responsabile del trattamento garantisce invece l’attuazione del trattamento nell’ambito del rapporto contrattuale concordato.

Accordo sul trattamento dei dati: la bussola contrattuale

UMB AG UMB AG agisce tipicamente come fornitore di servizi IT su incarico dei propri clienti e, pertanto, come responsabile del trattamento dei dati[1]. È qui che entra in gioco l’accordo sul trattamento dei dati, noto anche in pratica come DPA (Data Protection Agreement), l’indispensabile base contrattuale per la protezione dei dati. Questo accordo disciplina in dettaglio i diritti e gli obblighi di entrambe le parti, stabilisce quali tipologie di dati personali vengono trattati, per quale fine e con quali misure di sicurezza. In particolare, documenta le misure tecniche e organizzative (TOM) che UMB implementa per garantire l’integrità, la riservatezza e la disponibilità dei dati[2]. Esempi includono i controlli di accesso, archiviazione e separazione. Senza un tale accordo, le aziende rischiano sanzioni e responsabilità, poiché sia ​​la legge federale tedesca sulla protezione dei dati (BDSG) che il Regolamento generale sulla protezione dei dati (GDPR) richiedono un accordo scritto.  

La responsabilità rimane a bordo

In qualità di titolare del trattamento dei dati, potete esternalizzare alcune attività, ma la responsabilità della conformità alla normativa sulla protezione dei dati rimane a carico vostro. Tra i principali obblighi giuridici sono da annoverare la definizione di una base giuridica per il trattamento dei dati, ad esempio tramite consenso, contratti o requisiti di legge (anche interessi legittimi prevalenti possono costituire una base giuridica). L’adempimento dei diritti dell’interessato, come le richieste di chiarimenti, rettifica, cancellazione o opposizione; la creazione di informative sulla privacy trasparenti; la selezione e il monitoraggio accurati dei responsabili del trattamento dei dati; e la tempestiva segnalazione delle violazioni dei dati alle autorità di controllo devono sempre rispettare le normative applicabili in materia di protezione dei dati.

Responsabile del trattamento dei dati: il team in azione

Il responsabile del trattamento dei dati agisce esclusivamente su istruzioni del titolare del trattamento e non può utilizzare i dati per propri fini. I suoi compiti principali comprendono l'implementazione e la manutenzione di misure di sicurezza come firewall, sistemi di rilevamento delle intrusioni e formazione del personale; garantire la riservatezza imponendo il segreto a tutte le parti coinvolte; segnalare tempestivamente gli incidenti al titolare del trattamento; e supportare gli audit con la fornitura di report o certificazioni come la norma ISO 27001.

Rimanete vigili!

Nella pratica si celano diverse insidie, come ad esempio sottovalutare la necessità di regolamentare i subappaltatori nel contratto, prevedendo che le modifiche debbano essere comunicate al titolare del trattamento per garantire la trasparenza. Un altro errore è presumere che l'esternalizzazione comporti una completa rinuncia alla responsabilità. Rimanete vigili e documentate tutto, poiché la normativa sulla protezione dei dati richiede una documentazione esaustiva. Per mantenere il controllo in qualità di titolari del trattamento, assicuratevi contrattualmente che il vostro responsabile del trattamento elabori i dati solo nella misura concordata, fornisca immediatamente tutte le informazioni rilevanti in caso di violazione dei dati, notifichi le modifiche ai subappaltatori e agevoli audit o verifiche come le certificazioni. Stipulate sempre un accordo sul trattamento dei dati (DPA) quando esternalizzate e integratelo nella documentazione contrattuale.

Mantenete il controllo – con UMB come vostro equipaggio affidabile

Quando stabilite la rotta, siete il capitano e quindi il responsabile. Affidatevi a partner come UMB per esternalizzare in modo sicuro la vostra infrastruttura IT senza cedere il controllo. I nostri servizi sono conformi alle leggi tedesche sulla protezione dei dati (DSG e GDPR). Contattateci per qualsiasi domanda tramite il modulo di contatto e navighiamo insieme sicuri nel mondo della protezione dei dati!

  
Questo post del blog serve solo a fornire nozioni di base in materia di conformità e requisiti normativi nonché a dimostrare che UMB tiene conto di questi aspetti nell’ambito dei propri servizi. Il testo si basa sulla situazione attuale (marzo 2026).

[1] Per l'elaborazione interna dei dati, ad es. per i dati del personale, UMB agisce naturalmente in qualità di titolare del trattamento.  

[2] Blog dell'UMB: Sicurezza dei dati e protezione dei dati