Responsabile del trattamento
Chi è il responsabile del trattamento
Il GDPR non considera la possibilità di nominare un responsabile all’interno della struttura organizzativa del titolare. Con il previgente Codice Privacy, il titolare poteva designare il responsabile facoltativamente. Il GDPR disciplina espressamente ed esclusivamente il caso di designazione del responsabile individuandolo in soggetto esterno (sia esso persona giuridica, persona fisica, organizzazione o ente).
Nell’ambito della struttura organizzativa l’ex-responsabile interno può essere configurato come una persona che agisce sotto l’autorità del titolare (persona autorizzata al trattamento) tenuta all’obbligo di confidenzialità, operando in conformità alle istruzioni impartite per iscritto dal titolare.
I requisiti del responsabile
Il responsabile deve essere scelto tra soggetti che assicurino in modo appropriato, in base all’esperienza, capacità e affidabilità, la completa applicazione delle prescrizioni in materia di trattamento di dati personali, anche sotto il profilo della sicurezza. Il titolare deve scegliere soltanto responsabili che forniscano sufficienti garanzie per l’implementazione di misure organizzative e tecniche in modo tale che il trattamento sia conforme al GDPR e per il rispetto dei diritti degli interessati.
Come nominare il responsabile
Il GDPR è molto stringente rispetto alle modalità di designazione e alle istruzioni da impartire al responsabile.
Il trattamento affidato a un responsabile deve essere formalizzato da un contratto di servizi che definisca gli specifici compiti. Il contratto deve vincolare il responsabile al titolare e deve contenere almeno:
1. la materia disciplinata
2. la durata del trattamento
3. la natura e la finalità del trattamento
4. le categorie di dati personali
5. le categorie degli interessati
6. gli obblighi del titolare
7. i diritti del titolare.
Tale contratto deve dimostrare che il responsabile è dotato di garanzie sufficienti e idonea conoscenza della materia per mettere in atto misure e procedure tecniche e organizzative che consentano di svolgere il trattamento secondo i requisiti del GDPR e tutelare i diritti degli interessati, nonché capacità di procedere al trattamento secondo le istruzioni del titolare. Il contratto deve almeno vincolare il responsabile a:
1. trattare i dati soltanto su istruzioni documentate del titolare, segnalando previamente se il trattamento comporti il trasferimento dei dati verso Paesi terzi o organizzazioni internazionali
2. garantire che le persone autorizzate al trattamento si impegnino all’obbligo di riservatezza o siano vincolate legalmente alla segretezza professionale
3. adottare le misure di sicurezza prescritte dal GDPR
4. ricorrere a un ulteriore responsabile, soltanto se previamente autorizzato per iscritto dal titolare e vincolando l’ulteriore responsabile contrattualmente con le stesse clausole che sono state imposte dal titolare con il contratto di servizi stipulato
5. assistere il titolare nel rispondere agli interessati che esercitino i diritti di cui agli artt. 15-22, GDPR, per quanto di sua competenza
6. cancellare o distruggere i dati personali ed eventuali copie secondo quanto deciso dal titolare al termine delle operazioni di trattamento affidate
7. mettere a disposizione del titolare tutte le informazioni utili per dimostrare l’aderenza dei trattamenti ai requisiti del GDPR e consenta e contribuisca alle attività di revisione, di controllo o ispezione che il titolare vorrà e dovrà svolgere, anche attraverso personale a ciò incaricato.
Obblighi e responsabilità del responsabile
Gli obblighi cui è tenuto il responsabile sono da valutare rispetto alla propria funzione e realtà operativa, prescindendo dagli obblighi del titolare. Tra gli altri, vi saranno, perciò:
1. tenuta del Registro delle attività di trattamento distintamente per ogni titolare per cui opera
2. designazione, sussistendone le condizioni stabilite dal GDPR, del «Data Protection Officer» (o su base volontaria)
3. adozione di adeguate misure di sicurezza organizzative e tecniche
4. se non stabilito nell’UE, designare un rappresentante nello Stato ai fini dell’applicazione del GDPR
5. individuare le persone autorizzate al trattamento, vincolandole alla confidenzialità e autorizzandole a trattare i dati stabilendo entro quali limiti.
Deve informare tempestivamente il titolare se un’istruzione impartita è in contrasto con i requisiti del GDPR.
Se un responsabile svolge trattamenti difformemente dai requisiti del GDPR e dalle istruzioni impartite dal titolare, determinando in autonomia finalità e mezzi del trattamento, è considerato esso stesso titolare.
È, infine, responsabile degli inadempimenti e violazioni del GDPR da parte degli eventuali ulteriori responsabili che ha designato previa autorizzazione scritta, generale o specifica, del titolare.
Nomina di un sub-responsabile
Il GDPR consente che il responsabile ricorra al sub-appalto sotto determinate condizioni:
1. deve richiedere e ricevere preventivamente dal titolare autorizzazione scritta, generale o specifica, a ricorrere a ulteriore responsabile
2. se ottiene autorizzazione generale, deve previamente informare il titolare dell’aggiunta o della sostituzione di ulteriori responsabili, dando possibilità al titolare di opporsi
3. deve vincolare l’ulteriore responsabile con un contratto che abbia le stesse clausole e gli stessi obblighi che sono contenuti nel contratto stipulato con il titolare
4. il contratto con il sub-responsabile deve prevedere garanzie adeguate affinché il trattamento soddisfi i requisiti del GDPR e siano tutelati i diritti degli interessati.
Se l’ulteriore responsabile omette di adempiere ai propri obblighi in materia di protezione dei dati personali, il responsabile iniziale designato dal titolare conserva nei confronti del titolare l’intera responsabilità dell’adempimento degli obblighi dell’ulteriore responsabile.
Per approfondire, consulta le FAQ o contattami.