Il titolare del trattamento è colui che determina le finalità e le modalità del trattamento. Nel caso di una società il titolare è la società stessa e non la persona che la rappresenta o che è incaricata di gestire la privacy.
Il titolare può nominare uno o più responsabili esterni a cui affidare alcune attività particolari (manutenzione informatica, gestione dati in cloud, hosting, ecc..) nel qual caso essi dovranno agire secondo le indicazioni date dal titolare ma potranno avere una certa autonomia dei mezzi usati per il trattamento vista la loro competenza specifica.
Il Regolamento prevede che il responsabile deve essere incaricato con un contratto scritto. Altra novità è che il responsabile può a sua volta nominare un altro responsabile per attività specifiche che a sua volta può delegare.
Il titolare resta sempre responsabile per la violazione della privacy, in alcuni casi in via solidale con il responsabile del trattamento nominato.
Possono esistere contitolari del trattamento, quando più soggetti trattano dati per uno stesso fine e concordano i relativi mezzi. In tal caso dovrà essere predisposto un accordo che stabilisca i compiti e le responsabilità.
A fianco del titolare e dei responsabili ci sono poi i dipendenti dell’azienda che devono essere istruiti sulle modalità del trattamento.
L’azienda è tenuta ad effettuare regolari corsi di formazione per i dipendenti.
Il Regolamento introduce poi la nuova figura del DPO Data Privacy Officer, che è una sorta di consulente interno o esterno all’azienda che consiglia il titolare sulle misure di sicurezza da adottare e che si interfaccia con gli interessati e le autorità Garanti della Privacy.
Il DPO deve essere nominato obbligatoriamente solo in alcuni casi (trattamento di dati fatto da autorità pubblica, oppure attività di monitoraggio regolare degli interessati su larga scala, oppure trattamento di dati sensibili o giudiziari su larga scala), mentre può sempre essere nominato in via facoltativa.
Le imprese extra-UE che trattano dati nell’Unione in modo non occasionale devono nominare un Rappresentante nell’Unione che le rappresenta e si occupa di ogni questione che possa comportare obblighi in capo all’impresa estera derivanti dal Regolamento.
La nomina di un Rappresentante nell’Unione è obbligatoria per le imprese extra-UE quando ricorrono tutte le seguenti condizioni: il titolare non è un soggetto pubblico; si applica l’art. 3.2 (offerta di beni o servizi nell’Unione anche senza richiesta di un pagamento); il trattamento non è occasionale; riguarda su larga scala dati sensibili o giudiziari; vi è un probabile rischio per gli interessati.