Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Privacy: chi è il responsabile del trattamento dei dati personali

Con l’entrata in vigore del Regolamento europeo sulla protezione dei dati personali n.679/2016, sono state definite con maggior dettaglio le due figure principali delle normativa privacy: Il Titolare del Trattamento e il Responsabile del Trattamento.

Mentre il primo è colui che tratta i dati personali senza ricevere istruzioni da altri, in quanto è il soggetto che decide il “perché” e il “come” devono essere trattati i dati personali raccolti; il Responsabile del trattamento è una figura esterna all’organizzazione che può essere definita come longa manus del Titolare del trattamento posto che, privo di autonomia nel decidere il “perché” e il “come” deve trattare i dati personali, opera all’interno delle istruzioni impartite dal Titolare del trattamento.

Ed infatti, in base alla normativa vigente, il Responsabile del trattamento dei dati personali è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (GDPR, art. 4, par. 1, n. 8).

Definito anche come Data Processor, il Responsabile del trattamento dei dati personali deve quindi avere competenze qualificate e assicurare una specifica affidabilità, disponendo di risorse adeguate a ottemperare agli obblighi inerenti tale ruolo.

Pertanto, le due condizioni fondamentali per la qualifica di Responsabile del trattamento sono da un lato essere un soggetto distinto rispetto al Titolare del trattamento, dall’altro il trattare i dati per conto del Titolare del trattamento.

 

Proprio perché opera per conto del Titolare del Trattamento, la nomina a Responsabile del trattamento deve avvenire attraverso un contratto o altro atto giuridico vincolante la cui struttura deve seguire le indicazioni contenute nell’art. 28 GDPR, e deve quindi essere realizzato per iscritto, anche in formato elettronico.

In particolare, l’articolo prevede che l’atto di nomina disciplini:

  • l’oggetto del trattamento;
  • la durata del trattamento specificando il periodo di tempo esatto o i criteri utilizzati per determinarlo;
  • la natura e i mezzi;
  • la tipologia di dati personali trattati nel modo più dettagliato possibile;
  • le finalità del trattamento;
  • le categorie di interessati oggetto del trattamento;
  • nonché la possibilità o meno di ricorrere ad altri sub-responsabili rispondendo del loro operato,
  • ed infine gli obblighi e i diritti del Titolare.

Si sottolinea infatti che agire «per conto di» significa che il Responsabile del trattamento non può effettuare trattamenti per finalità proprie, per questo, ai sensi dell’articolo 28 paragrafo 10, il Responsabile del trattamento è in violazione del GDPR qualora non si limiti a trattare i dati in base alle istruzioni impartite dal titolare del trattamento ma inizi a definire proprie finalità e propri mezzi di trattamento.

Si evidenzia pertanto l’importanza del contratto stipulato ex art. 28 GDPR in quanto il ruolo di Responsabile del trattamento non scaturisce solo dalle caratteristiche del soggetto che tratti i dati personali, ma anche dalle attività concretamente svolte in un contesto specifico.

 I requisiti del responsabile del trattamento dei dati personali

Come disposto dal GDPR il Responsabile del trattamento deve prestare garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate, in merito soprattutto anche alla sicurezza del trattamento stesso al fine di garantire la tutela dei diritti degli interessati.

La valutazione della sufficienza delle garanzie da parte del Titolare del trattamento è una forma di valutazione del rischio che dipenderà in larga misura dal tipo di trattamento affidato al responsabile e va effettuata caso per caso, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento nonché dei rischi per i diritti e le libertà delle persone fisiche. Ad esempio, un elemento in grado di dimostrare le garanzie sufficienti di cui sopra può essere rappresentato dall’adesione ad un codice di condotta e/o un meccanismo di certificazione approvato.

 I compiti del responsabile del trattamento dei dati personali

 

In base al contratto ex art. 28 GDPR, il Responsabile del trattamento ha  una serie di obblighi da rispettare:

  • trattare i dati personali solo secondo le disposizioni del titolare e dimostrare al titolare che i dati sono stati trattati nel modo concordato, nonché nel rispetto della normativa europea ed italiana;
  • tenere il registro delle attività di trattamento da Responsabile;
  • garantire la privacy degli interessati, facendo in modo che tutti i suoi dipendenti addetti al trattamento, ossia le persone fisiche che concretamente si occupano della gestione dei dati, siano stati sottoposti a una formazione specifica e abbiano l’obbligo formale alla riservatezza;
  • garantire la sicurezza dei dati personali trattati adottando tutte le misure di sicurezza adeguate al rischio di cui all’art. 32 GDPR. A tal fine, sarà necessario  analizzare i rischi connessi al trattamento e alla conservazione dei dati personali al fine di salvaguardare i diritti degli interessati. A titolo esemplificativo e non esaustivo si fa riferimento alle misure di pseudonomizzazione, cifratura in entrata ed uscita dei dati personali oggetto del trattamento, nonché alla capacità di ripristinare tempestivamente l’accesso ai dati in caso di problemi tecnici.
  • sottostare a tutti gli adempimenti giuridici nel caso in cui il Responsabile ricorra a un altro sub-responsabile del trattamento. Questa ipotesi, infatti, deve essere regolata da altro contratto che imponga i medesimi obblighi in materia di protezione dei dati che figurano in capo al responsabile del trattamento originario.
  • Inoltre, anche se l’onere di dare seguito alle richieste degli interessati è di competenza del Titolare del trattamento, il contratto ex art. 28 deve prevedere comunque l’obbligo in capo al Responsabile del trattamento di fornire l’assistenza necessaria al Titolare, nella misura in cui ciò sia possibile, con misure tecniche e organizzative adeguate. L’assistenza in esame ovviamente può consistere anche nel trasmettere tempestivamente qualsiasi richiesta ricevuta da parte degli interessati al Titolare del trattamento. Si sottolinea, infatti, che il tipo e il grado di assistenza che il Responsabile è tenuto a fornire possono variare tenendo conto della natura del trattamento e delle informazioni a sua disposizione.
  • Altro onere che incombe in capo al Responsabile del trattamento si sostanzia nell’adempimento dell’obbligo di notificare senza indebito ritardo le violazioni dei dati personali all’autorità di controllo ed eventualmente, a seguito di attenta valutazione, agli interessati. Inoltre, il responsabile del trattamento deve assistere il titolare anche nello svolgimento della c.d. valutazioni d’impatto (DPIA) sulla protezione dei dati e, se necessario, nella consultazione dell’autorità di controllo qualora il risultato di tali valutazioni indichi la sussistenza di un rischio elevato che non può essere attenuato.

 

L’art. 82, paragrafo 1 GDPR, stabilisce poi il principio in forza del quale l’interessato – danneggiato ha il diritto di ottenere il risarcimento del danno eventualmente subito, che potrà essere sia patrimoniale che non patrimoniale, nel caso in cui sia stata realizzata una violazione di una o più delle disposizioni sancita dal GDPR.

Sotto il profilo dell’imputazione si evidenzia che la violazione di cui sopra, che potrà essere realizzata sia in forma attiva che omissiva, ricade in capo al Titolare del trattamento e/o Responsabile del trattamento. Quest’ultimo però risponderà per il danno causato dal trattamento soltanto nel caso in cui:

  • non abbia adempiuto correttamente agli obblighi specificamente indicati dal Regolamento;
  • o qualora abbia agito in modo difforme o contrario rispetto alle istruzioni impartite dal Titolare del trattamento in merito al trattamento dei dati personali di sua competenza.

Il paragrafo 3 del medesimo articolo, sottolinea poi che sia il Titolare del trattamento che il Responsabile vadano esenti da responsabilità nel caso in cui riescano a dimostrare che l’evento dannoso eventualmente subito dall’interessato non sia loro imputabile. A tal fine entrambi dovranno dimostrare, mediante un’inversione dell’onere della prova, che l’evento dannoso dipenda da una fonte estranea alla loro sfera di controllo e/o competenza, oppure che gli stessi abbiano predisposto ed attuato tutte le misure prevedibili e adeguate al fine di evitare che si verificasse il danno.