In merito all’incarico di Responsabile al trattamento.
Il GDPR 679/16 ha colto molte aziende impreparate e ha spaventato molti i soggetti interessati, più per non conoscenza della norma che altro.
Vediamo di fare un po’ chiarezza.
Il titolare al trattamento dei dati, quando non può, o non vuole, trattare direttamente dei dati, affida a terzi alcune operazioni di trattamento [vedi nota 1]
Spesso capita che i designati responsabili esterni al trattamento [vedi nota 2] si rifiutino di accettare l’incarico, mettendo in difficoltà le aziende, che si trovano quindi costrette ad un bivio: o l’incorrere in pesanti sanzioni o a chiudere rapporti rescindendo contratti, magari consolidati da anni.
Vediamo alcuni esempi di responsabili esterni al trattamento:
Negli esempi riportati è evidente che:
Chiamiamo ora in aiuto l’Art, 28 comma 1:
Qualora un trattamento debba essere effettuato per conto del titolare del trattamento quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato.
Ma non solo, questi devono anche dare sufficienti garanzie… in modo tale che il trattamento soddisfi i requisiti del presente regolamento.
E ancora l’Art. 28 Comma 3:
I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
Nel Comma 9 del medesimo articolo si specifica che:
Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.
Concludendo, consigliamo i responsabili esterni al trattamento di effettuare un’opportuna formazione specifica prima di accettare un incarico. Ricordiamo che la formazione per il responsabile esterno è obbligatoria.
Davide Gallico
DPO | Responsabile della Protezione dei Dati
NOTA 1
Art. 4 comma 2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
NOTA 2
Art. 4 Comma 8) «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento