Il responsabile del trattamento dati è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”. Show È incaricato dal titolare del trattamento dati, che può scegliere o meno di avvalersene (la nomina del responsabile non è obbligatoria). La figura del responsabile del trattamento dati ha il compito di attuare le misure tecniche e organizzative adeguate a garantire i diritti dell’interessato. A tale scopo deve mostrare “garanzie sufficienti” in termini di competenze in materia (ad es. corsi di formazione) ed affidabilità, come requisito deontologico. Ha l’obbligo di garantire la sicurezza dei dati, applicando le misure adeguate al rischio Privacy, tra le quali i principi di privacy by design e privacy by default. Il responsabile deve effettuare audit e ispezioni e assistere, consigliare ed avvisare il titolare in caso di inadempienza al Regolamento o data breach. L’affidamento dei dati da parte del titolare al responsabile del trattamento, deve avvenire con contratto stipulato in forma scritta che riporti dettagliatamente i compiti per cui il titolare delega al responsabile la concreta gestione del trattamento. Responsabile e titolare del trattamento dati sono tenuti alla redazione del registro per il trattamento dati per la valutazione e il monitoraggio del rischio Privacy, che sia a disposizione di eventuali controlli da parte del Garante. Secondo la più diffusa interpretazione dell’art. 28 del GDPR, non è ammissibile ritenere consentita la nomina di un responsabile al trattamento interno; la figura dovrà essere designata esternamente. Come nel caso del titolare del trattamento, anche la figura del responsabile del trattamento -sotto il profilo delle sue caratteristiche soggettive e delle sue responsabilità- è definito dal GDPR negli stessi termini già previsti dalla Direttiva 95/46/CE e dal Codice Privacy. In particolare, con il termine “responsabile del trattamento” il GDPR si riferisce alla “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, paragrafo 1, n. 8). Si tratta quindi di quel soggetto che è preposto e al quale viene affidato, da parte del titolare, il trattamento dei dati personali. Per quanto riguarda i requisiti soggettivi che il responsabile del trattamento deve possedere, il GDPR prevede che si tratti di una figura in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato (art. 28, co. 1, GDPR: “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”). A questo proposito, come specificato dal Considerando 81, le garanzie che il responsabile del trattamento deve essere in grado di fornire si sostanziano in: una conoscenza specialistica della materia, affidabilità e possesso di risorse che permettano di attuare misure tecniche e organizzative in grado di soddisfare tutti i requisiti stabiliti dal Regolamento per il trattamento dei dati personali, anche sotto il profilo della sicurezza. Il Responsabile del trattamento dovrà quindi avere una competenza qualificata, che potrà essere comprovata da apposita documentazione (rilasciata, ad esempio, in seguito alla frequentazione di corsi qualificati, benché non esistano attualmente particolari abilitazioni o il possesso di specifiche certificazioni). Per quanto riguarda invece il profilo dell’affidabilità, questo requisito dovrà essere fondato su aspetti etico-deontologici, che potrebbero essere dimostrati, ad esempio, con semplici autocertificazioni, anche per escludere eventuali condanne che possano essere rilevanti al riguardo. A questo proposito, si ricorda che già il Codice della Privacy prevede, all’art. 29, comma 2, che “Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza”. Non si ravvisano quindi particolari novità nel GDPR, se non per il fatto che il Responsabile deve disporre di sufficienti risorse per mettere in atto le misure tecniche ed organizzative che soddisfino quanto richiesto dal Regolamento. Il Responsabile deve, pertanto, avere a disposizione sufficienti disponibilità sia economiche, sia di personale, e più in generale deve poter disporre di tutti i mezzi necessari allo svolgimento dei compiti affidati dal Titolare. Nel caso in cui il Responsabile del trattamento dei dati sia un soggetto interno all’organizzazione, sarà lo stesso Titolare del trattamento a dover fornire tali risorse; se invece il servizio viene affidato all’esterno, sarà autonomamente il Responsabile nominato a prevedere adeguate risorse per lo svolgimento dell’incarico nel rispetto del GDPR. Il Responsabile del trattamento dei dati potrebbe, come anticipato, essere tanto una figura interna all’azienda, quanto esterna. A questo proposito, il Garante della Privacy, alla luce della disciplina interna aveva precisato che: “è necessario precisare chi svolgerà l’eventuale ruolo di “responsabile del trattamento”. Conseguentemente, l’Amministrazione deve decidere se prevedere tale figura ed attribuirne la responsabilità o alla struttura esterna cui è affidata l’attività in concessione, oppure ad un dipendente di quest’ultima, o a un proprio ufficio o dipendente dell’Amministrazione stessa (quest’ultima opzione presuppone che l’ufficio o il funzionario pubblico abbiano poteri effettivi di ingerenza sulle attività e sull’organizzazione dell’impresa concessionaria: cosa, in realtà, poco frequente). In concreto, la nomina del responsabile, che deve essere effettuata in forma scritta, potrebbe essere inserita in un apposito articolo della convenzione, oppure essere oggetto di un distinto provvedimento amministrativo o atto di diritto privato”. In realtà, altri Stati membri hanno sempre individuato questo ruolo come spettante a soggetti esterni rispetto al titolare del trattamento e l’assenza di specificazioni all’interno del GDPR sta dando luogo ad alcune divergenti interpretazioni al riguardo. D’altra parte, in assenza di ulteriori precisazioni, è opportuno ritenere che rimanga valida la facoltà di scelta, come fino ad oggi prevista dal nostro ordinamento. Il Responsabile del trattamento è obbligato (come previsto dall’art. 28, comma 3 del GDPR), in forza del contratto stipulato con il titolare, a:
Anche in capo al Responsabile del trattamento il GDPR pone l’obbligo di tenere il registro dei trattamenti svolti per conto del titolare del trattamento (art. 30, comma 2, GDPR), nel quale vanno riportate dettagliatamente una serie di indicazioni relative ai trattamenti di dati effettuati. Chi è il responsabile del trattamento dei dati GDPR?Il responsabile, quindi, dovrebbe essere individuato dal Titolare del trattamento sulla base della sua capacità di trattare dati nel rispetto della normativa privacy vigente, delle misure tecniche ed organizzative adottate e della tutela dei diritti dell'interessato.
Chi deve essere nominato responsabile del trattamento?Il responsabile del trattamento (in inglese data processor) nel nuovo regolamento europeo è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento (art. 4, par. 1, n. 8 GDPR).
Chi è il responsabile del trattamento dei dati in azienda?Il responsabile del trattamento tratta i dati personali solo per conto del titolare del trattamento. Il responsabile del trattamento è di solito un terzo esterno all'azienda. Tuttavia, nel caso di gruppi di imprese, un'impresa può agire in qualità di responsabile del trattamento per un'altra impresa.
Chi può ricoprire la figura di responsabile del trattamento?Il Responsabile, come si evince dalla definizione di legge, può essere persona fisica o giuridica (eventualità condivisa con la figura del Titolare e non anche con quella dell'Incaricato). Inoltre, ad assumere la qualità di Responsabile del trattamento, possono essere tanto i soggetti pubblici quanto quelli privati.
|