Risposta a cura del DPO dell' Ordine degli Architetti PPC della Provincia di Milano
La normativa sulla privacy si applica ai “trattamenti” di dati personali (ossia relativi alle persone fisiche).
Si intende come “trattamento” qualsiasi operazione sui dati personali, come la “raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
I trattamenti possono essere quelli “propri” dello studio o svolte per conto di altri. Nel primo caso, si dice che lo studio agisce come “titolare” (in inglese, “controller”), nel secondo come “responsabile” (in inglese “processor”).
Le definizioni fornite dal GDPR sono:
- Titolare (in inglese «controller»), la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;
- Responsabile (in inglese «processor»), la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
Solitamente gli studi trattano i dati del personale interno e dei collaboratori e dei clienti (ossia delle persone fisiche che li rappresentano), sempre con il ruolo di titolare. Alcuni fornitori (p.e. elaborazione di buste paga, servizi informatici inclusi quelli cloud) agiscono invece con il ruolo di responsabile.
Aggiornato al 29/08/2025