Attenzione alla nomina dei Responsabili del trattamento prevista dal GDPR
Quando pensiamo agli adempimenti in materia privacy, ovvero le regole previste dal Regolamento Generale Sulla Protezione Dei Dati comunemente chiamato GDPR, la nostra attenzione ricadrà sicuramente sulle informative (artt. 13 e 14 GDPR). Esse ricoprono un ruolo sicuramente importante all’interno della normativa europea, però, non rappresentano l’unico onere al quale i titolari del trattamento devono prestare attenzione. In questo articolo vogliamo fare un focus in particolare sulla nomina dei Responsabili del trattamento, in considerazione alle recenti notizie legate all’attività ispettiva del Garante della privacy.
Il Garante effettua i controlli secondo il piano ispettivo semestrale, e nella Newsletter dell’11/03/2021 ha dato evidenzia ad un provvedimento sanzionatorio a carico della Regione Lazio. Vediamo meglio i fatti di questa interessante pronuncia.
Il Garante ha comminato una sanzione di 75.000€ alla Regione Lazio, colpevole di non aver nominato un Responsabile del trattamento dati (ex art. 28 GDPR), ovvero la Cooperativa a cui aveva affidato la gestione delle prenotazioni delle prestazioni sanitarie (ReCUP).
La Cooperativa in sostanza ha trattato i dati dei pazienti in modo illecito per un lungo periodo, dal 1999 al 7 gennaio 2019, data in cui la Regione Lazio, in qualità di titolare del trattamento, ha designato formalmente la Cooperativa Responsabile del trattamento, ovvero, ben oltre l’inizio di piena applicazione del GDPR avvenuta il 25 maggio 2018.
Ma in cosa consiste questa nomina del Responsabile del trattamento ex art. 28 GDPR?
Innanzitutto, occorre capire chi sia il Responsabile del trattamento.
La sua definizione è contenuta nell’art. 4, co. 1, n. 8 GDPR che definisce il Responsabile del trattamento come «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento».
Si tratta dunque di un soggetto designato dal Titolare affinché svolga, per conto di quest’ultimo, attività strumentali rispetto alle finalità del trattamento, la cui determinazione è rimessa esclusivamente al Titolare. Il Responsabile non concorre con il Titolare nella definizione delle finalità e dei mezzi del trattamento. Per fare un esempio pratico, si pensi alla situazione in cui un’azienda (Titolare del trattamento) affidi la gestione contabile, con i dati dei suoi clienti e dipendenti (gli interessati), ad un commercialista (il Responsabile del trattamento).
L’art. 28, co. 3 GDPR dispone che la nomina del Responsabile debba essere disciplinata da un contratto o altro atto giuridico di designazione, il quale vincoli quest’ultimo al Titolare e indichi chiaramente quali siano le finalità del trattamento, nonché le istruzioni per il conseguimento delle stesse.
Concludiamo l’analisi della sanzione comminata dal Garante evidenziando che per la Cooperativa, l’Autorità ha ritenuto sufficiente un’ammonizione in quanto, il titolare della Cooperativa, aveva più volte evidenziato alla Regione la necessità di essere nominata in modo tale da essere conformi al GDPR.
Questo tipo di violazione è ricorrente anche a livello europeo, infatti risulta essere la terza violazione per numero di rilevamento, rientrante nel gruppo dell’inosservanza dei principi generali del trattamento dei dati, con una somma totale di 20.020.764 € (insieme ad altre violazioni).
La raccomandazione è quello di monitorare questo tipo di incombenza e di sollecitare la firma da parte dei Responsabili, in modo tale da evitare sanzioni amministrative in caso di controlli da parte del Garante.