Responsabile del trattamento: soggetto interno o esterno all’azienda?

 

Sono passati ormai sette anni dall’entrata in vigore del Reg. UE 2016/679 (Regolamento europeo per la protezione dei dati) e quattro anni dalla sua attuazione in Italia, ma sono ancora molte le lacune presenti sui ruoli e le responsabilità dei soggetti interni ed esterni alle aziende.

CHI È IL RESPONSABILE DEL TRATTAMENTO?

La figura del responsabile del trattamento è disciplinata dall’art. 28 del Regolamento ed è definito dall’art. 4 par. 8 come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

È OBBLIGATORIO NOMINARNE ALMENO UNO?

Il titolare del trattamento può scegliere se nominare o meno uno o più responsabili del trattamento. Il rapporto tra titolare e responsabile deve essere disciplinato, come da art. 28 par. 3 da un contratto o altro atto giuridico che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare.

CHI PUÒ ESSERE NOMINATO COME RESPONSABILE DEL TRATTAMENTO?

Il titolare deve ricorrere esclusivamente a responsabili in grado di fornire garanzie sufficienti per mettere in atto misure tecniche organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato.

Questo si concretizza mediante una valutazione continuativa del rischio, anche in momenti successivi alla stipula del contratto, mediante l’organizzazione di audit specifici.

Il responsabile può a sua volta nominare dei sub responsabili, previa autorizzazione da parte del titolare del trattamento, divenendo a tutti gli effetti responsabili del responsabile. Questa pratica viene utilizzata molto spesso in caso di subappalto o subfornitura.

CONTENUTO DEL CONTRATTO TRA TITOLARE E RESPONSABILE

Il contratto rappresenta uno strumento con cui il titolare detta i presupposti del rapporto tra le parti, tenendo conto dei compiti e delle responsabilità specifici nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato.

Il contenuto minimo deve altresì contenere:

  • L’oggetto del trattamento (le attività proprie del responsabile);
  • La durata del trattamento (il periodo di tempo o i criteri utilizzati per determinare un inizio e una fine);
  • La natura del trattamento;
  • Le finalità del trattamento;
  • La tipologia di dati personali;
  • La categoria di interessati (es. dipendenti, clienti, ecc…);
  • Gli obblighi e i diritti del titolare.

COSA SUCCEDE QUANDO LA COLLABORAZIONE TRA TITOLARE E RESPONSABILE SI INTERROMPE?

In caso di cessazione del rapporto tra titolare e responsabile, quest’ultimo dovrà, a seconda di quanto specificato nel contratto, restituire o cancellare i dati in suo possesso.

SOGGETTO ESTERNO O INTERNO?

In base a quanto stabilito dal GDPR, il responsabile del trattamento è, per sua definizione, un soggetto esterno all’azienda. Infatti, il titolare del trattamento può decidere di trattare i dati all’interno della propria azienda oppure delegare in tutto o in parte le attività di trattamento ad un soggetto esterno. Quindi, per agire come responsabile del trattamento è necessario essere una persona giuridica distinta dal titolare ed elaborare dati per suo conto.

Il titolare, dunque, può distribuire incarichi anche a soggetti interni, i quali verranno nominati come persone autorizzate al trattamento, mantenendo però le responsabilità dei dati trattati. Diversamente, attraverso la nomina di un responsabile esterno, il titolare delega tutte le responsabilità specifiche, con la diretta conseguenza che la figura individuata e nominata possa essere chiamata a rispondere davanti alle autorità di controllo e alla magistratura.

Ricordiamo che, nel caso di trattamento in violazione delle norme del regolamento europeo, il responsabile risponde, congiuntamente al titolare, per il danno cagionato all’interessato, secondo quanto previsto dall’articolo 82. Il responsabile risponde per il danno causato dal trattamento solo in caso di non corretto adempimento degli obblighi previsti dalle norme in capo al responsabile stesso, oppure se ha agito in modo difforme rispetto alle istruzioni del titolare del trattamento. Le condotte non conformi al GDPR che determinino le finalità e i mezzi del trattamento (cioè se agisce come fosse titolare) producono l’effetto di qualificare il responsabile come titolare del trattamento (art. 28 par. 10 GDPR).