Blog

Il responsabile del trattamento dati

Alla luce delle novità introdotte dal GDPR, questo articolo cerca di chiarire la figura del responsabile del trattamento in relazione a quella che è stata finora la normativa di riferimento: la direttiva 46/95/CE  e il Codice Privacy.

Chi è il responsabile del trattamento?

Il responsabile del trattamento dati (data processor) è la persona fisica o giuridica che tratta ed elabora professionalmente i dati personali per conto del titolare del trattamento secondo le sue istruzioni.

“Elabora professionalmente”, vuol dire che tale figura:
– deve possedere necessariamente una formazione specifica;
– deve fornire garanzie di affidabilità adeguate al tipo di trattamento;
– nel caso sia un soggetto esterno all’azienda, deve essere in grado di approntare risorse autonome.

Scopo della sua attività è assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali e garantire la tutela dei diritti dell’interessato.

È obbligatoria la nomina del responsabile del trattamento?

“Ogni volta che basta una sola persona per eseguire un compito con la dovuta diligenza, il compito viene eseguito in modo peggiore da due persone e non viene affatto eseguito se l’incarico è affidato a tre o più persone.”  (George Washington)

No. La nomina del Responsabile del trattamento dei dati dipende da  una decisione presa direttamente dal  Titolare  del trattamento.

Il titolare del trattamento, infatti, può decidere di:

  • trattare i dati in totale autonomia, occupandosi della gestione ed elaborazione degli stessi e non avvalendosi di nessun professionista interno o esterno all’azienda;
  • delegare l’elaborazione dei dati e la concreta gestione del trattamento per suo conto ad un altro soggetto (il responsabile appunto).

Ciò accade quando il Titolare ritiene di non poter svolgere totalmente le proprie attività mediante proprie risorse interne. Ad es. responsabile può essere il commercialista che compila le buste paga, o un soggetto che archivia dati personali.

La figura del   Responsabile  del trattamento esiste solo quando concorrono due requisiti:

  • il soggetto nominato è distinto dal  Titolare  del trattamento;
  • è stato delegato ad elaborare i dati personali per conto di quest’ultimo e nel rispetto delle istruzioni impartite con il contratto di nomina.

Infatti, nel caso in cui il responsabile tratti i dati personali in modo diverso da come indicato dal Titolare, assumerà la qualifica di contitolare, essendo così vincolato agli stessi obblighi del Titolare in caso di responsabilità per danni.

A chi spetta la scelta del responsabile?

La scelta del responsabile spetta unicamente al titolare, il quale è tenuto a nominare solo quei soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a garantire lo svolgimento dei trattamenti in modo conforme alle finalità ed ai mezzi da esso individuati.

Tali garanzie dovranno essere valutate di volta in volta al momento della scelta e in base alle caratteristiche dei trattamenti da affidare al responsabile.
Tra le garanzie da tenere in considerazione, risulta utile la valutazione di eventuali adesioni da parte del responsabile a codici di condotta o a meccanismi di certificazione.

Come viene gestito il rapporto tra titolare e responsabile?

Il rapporto tra le due figure va disciplinato mediante la stipula di apposito contratto o altro atto giuridico vincolante.
Deve trattarsi di un atto stipulato per iscritto, anche in forma elettronica e dovrà disciplinare i seguenti elementi:

– oggetto, durata, natura e finalità del trattamento;
– le categorie di soggetti interessati e il tipo di dati personali oggetto del trattamento;
– gli obblighi e i diritti del titolare del trattamento.

Quali sono gli obblighi a carico del responsabile?

Il responsabile del trattamento deve:

  • elaborare quei dati che siano stati autorizzati dal titolare, rispettandone le finalità;
  • garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza;
  • adottare tutte le misure tecniche e organizzative necessarie al fine di garantire un livello di sicurezza adeguato al rischio;
  • rendersi disponibile a verifiche dell’operato da parte del Titolare del trattamento cooperando, se del caso, con l’Autorità di Vigilanza;
  • rispettare tutte le condizioni previste per l’eventuale nomina di un sub-responsabile;
  • denunciare un’eventuale violazione del trattamento dei dati prontamente al titolare;
  • detenere un registro dei trattamenti in cui vengono illustrati i trattamenti effettuati per conto del Titolare;
  • cancellare e restituire i dati personali al termine del trattamento qualora sia il Titolare a richiederlo;
  • dimostrare al Titolare di aver rispettato gli obblighi e le istruzioni da esso impartite al fine di non soggiacere alle eventuali responsabilità;
  • designare il DPO.

In conclusione, non sembrano esserci differenze notevoli tra le figure di responsabili del trattamento previste rispettivamente nel Codice privacy e nel GDPR.

Leggi anche: