Se tratti dati personali su indicazioni di terzi esterni alla tua organizzazione non sei il Titolare di un trattamento di dati personali, ma ne sei il Responsabile (data processor).
Gli incarichi che ti vengono dati e le indicazioni che ti vengono fornite, secondo la nuova Direttiva devono avere forma scritta. Quindi tra te e chi ti indica cosa fare e come farlo, deve esistere un contratto che comprenda le indicazioni circa il trattamento dei dati personali.
Esempi di responsabili del trattamento di dati includono società di che elaborano buste paga, commercialisti e società di ricerche di mercato, che potrebbero gestire o elaborare informazioni personali per conto di qualcun altro.
I fornitori di “cloud” sono generalmente anche elaboratori di dati.
È possibile che una società o una persona sia sia un titolare dei dati sia un responsabile del trattamento di dati personaliAd esempio, una società di gestione paghe sarebbe il responsabile del trattamento dei dati relativi al proprio personale, ma sarebbe il responsabile del trattamento dei dati relativi ai salari del personale che sta elaborando per le sue società clienti.
Un dipendente di un titolare del trattamento dei dati, o una sezione o unità all’interno di una società che sta elaborando dati personali per l’azienda nel suo insieme, non è un “responsabile del trattamento di dati”. Tuttavia, qualcuno che non è assunto dal titolare del trattamento dei dati, ma è incaricato di fornire un particolare servizio di elaborazione dati (ad esempio un consulente fiscale o una società di telemarketing utilizzata per gestire gli account dei clienti) è da considerarsi un responsabile del trattamento di dati.
A differenza dei titolari del trattamento dei dati, i responsabili del trattamento hanno un insieme molto limitato di responsabilità ai sensi della legge sulla protezione dei dati personali. Devono elaborare i dati personali solo seguendo le istruzioni del Titolare. Le loro responsabilità riguardano la necessità di proteggere i dati personali da accessi non autorizzati, evitarne la divulgazione, distruzione o perdita accidentale. Anche tu, come responsabile del trattamento devi provvedere ad adeguare la tua struttura informatica ed a formare coerentemente i tuoi collaboratori.