pulsante lavora con noi studio essepi

Consulenza e formazione. Dal 1995 un punto di riferimento per aziende e professionisti.

Magazine

Il responsabile interno ed esterno al trattamento dei dati

Il responsabile interno ed esterno al trattamento dei dati

Il responsabile del trattamento, come specificato dal Regolamento Europeo sulla privacy, è “la persona fisica o giuridica, l'autorità pubblica, il servizio o l'organismo che tratta i dati personali per conto del titolare del trattamento”.

Tale termine era già presente nel Codice Privacy (D.Lgs. 196/2003), ma con il GDPR sono state introdotte alcune novità che riguardano questa figura, anche per quanto riguarda il contesto italiano (con il recepimento del Regolamento UE da parte del D.Lgs. 101/2018).

Vediamo, in questo articolo, cosa dicono le norme sul responsabile interno o esterno al trattamento dei dati, come viene nominato e quali sono gli obblighi.

Responsabile interno ed esterno al trattamento

Il quadro normativo italiano prima del GDPR, ovvero quello delineato dal Codice Privacy, distingueva tra responsabile interno e responsabile esterno "a seconda che l’individuazione avvenisse tra dipendenti e collaboratori del Titolare oppure nei riguardi di un soggetto terzo”.

Questa distinzione, presente all'articolo 29, era una prassi operativa tutta italiana: nonostante quella interna fosse una figura che non trovava definizione nella Direttiva 95/46/CE, risultava comunque ad essa compatibile (in Europa, infatti, il responsabile del trattamento è sempre stato inteso solo come figura esterna).

Tuttavia, con l'abrogazione dell'articolo 29 per l’entrata in vigore del D.Lgs. 101/2018, e poiché il GDPR stesso non fa riferimento esplicito al Responsabile interno (l'articolo 28, "Responsabile del trattamento", si rivolge chiaramente a figure esterne all'azienda), in molti si sono chiesti se, nel nostro Paese, fosse ancora possibile o meno nominare una figura interna.

Sulla questione, che rimane comunque delicata a livello normativo e soggetta a interpretazioni, prevale quella che esclude l'ammissibilità del responsabile interno.

Tuttavia, come sottolineato dal Garante per la Privacy, "il regolamento UE definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano). Pur non prevedendo espressamente la figura dell'incaricato del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a "persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile".

Da qui, l'introduzione nella legge italiana della figura del "soggetto designato". Come specificato all'art 2-quaterdecies del D.Lgs. 101/2018:

  • il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità;
  • il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità.

Spesso, nelle realtà aziendali, diventa condizione necessaria e indispensabile designare una figura interna all’organizzazione dedicata al tema privacy, comprendendo attività quali interfacciarsi con figure esterne (es. il DPO o il consulente), sorvegliare sulle procedure o istruzioni messe in atto, pianificare la formazione, gestire la documentazione correlata. Di fatto, una sorta di supervisore, se non un responsabile.

Nomina del responsabile del trattamento dei dati

L'articolo 28 del GDPR, come anticipato, è il riferimento normativo che regola la figura del Responsabile del trattamento.

Egli deve innanzitutto essere autorizzato dal titolare del trattamento: sebbene non si parli di "nomina" in senso esplicito, viene specificato che "i trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri".

Tale contratto (o atto giuridico) prevede che il responsabile del trattamento debba:

  • trattare i dati personali solo su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale;
  • garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano adeguato obbligo legale di riservatezza;
  • adottare le adeguate misure di sicurezza (come previsto all'articolo 32);
  • rispettare le condizioni stabilite per ricorrere a un altro responsabile del trattamento;
  • assistere il titolare del trattamento con misure tecniche e organizzative adeguate;
  • assistere il titolare del trattamento nel rispettare gli obblighi stabiliti agli articoli da 32 a 36;
  • su scelta del titolare, cancellare o restituire i dati personali una volta terminata la prestazione di servizi;
  • mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi.

Altri obblighi del responsabile del trattamento

Oltre a quelli citati in precedenza, il Regolamento Europeo prevede altri obblighi.

Il responsabile così come il titolare del trattamento deve, laddove previsto dal regolamento, tenere un registro di tutte le categorie di attività svolte (trattamenti) per conto del titolare, ove inserire:

  • nome e dati di contatto del/i responsabile/i del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
  • categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  • ove applicabile, trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale;
  • ove possibile, descrizione generale delle misure di sicurezza tecniche e organizzative.

Oltre al già citato articolo 32, dove titolare e responsabile sono tenuti a mettere in atto misure tecniche e organizzative per garantire livelli di sicurezza adeguati al rischio, bisogna ricordare che il responsabile deve immediatamente avvisare il titolare nel caso un'operazione/attività/trattamento di sua competenza violi il regolamento sulla protezione dei dati.

Come indicato al considerando 95, poi, "il responsabile del trattamento, se necessario e su richiesta, dovrebbe assistere il titolare del trattamento nel garantire il rispetto degli obblighi derivanti dallo svolgimento di una valutazione d'impatto sulla protezione dei dati e dalla previa consultazione dell'autorità di controllo".

Su questi argomenti potrebbe interessarti anche il seguente articolo: GDPR e registro delle attività di trattamento: tutte le info

Se vuoi essere certo di rispettare gli obblighi di legge stabiliti dal GDPR, in materia di trattamento dei dati personali, richiedi oggi stesso la consulenza di un nostro esperto.


banner ebook studio essepi 


chiara-merci-studio-essepi  

Scritto da: Chiara Merci


Consulente e formatrice esperta in igiene alimentare, sistemi di gestione e privacy, cantante e amante di musica e viaggi.





Chiamaci

045 8621499