Diritto e Fisco | Articoli

Quando nominare il responsabile del trattamento?

23 Novembre 2018


Quando nominare il responsabile del trattamento?

> Diritto e Fisco Pubblicato il 23 Novembre 2018



Con l’entrata in vigore del GDPR le aziende devono adeguarsi alle nuove regole che disciplinano il trattamento dei dati personali. Tra le varie regole da seguire c’è la nomina del responsabile del trattamento.

Se ne parla da molti anni e, infine, lo scorso 25 maggio è definitivamente entrato in vigore il nuovo regolamento europeo che disciplina il trattamento dei dati personali meglio noto con l’acronimo GDPR. Fino ad oggi gli enti e le aziende si erano abituati a trattare i dati personali rispettando i principi della normativa italiana, ossia del Codice Privacy. Oggi, invece, tutte le procedure e le carte prodotte in passato devono essere messe in discussione e si deve verificare la loro conformità alle nuove regole introdotte dal GDPR. Tra i vari obblighi che deve rispettare chi tratta i dati personali altrui vi è quello di nominare un responsabile del trattamento. Ma quando nominare il responsabile del trattamento? In fondo al presente articolo vi proponiamo una bozza di nomina a responsabile del trattamento.

Che cos’è il GDPR?

Il trattamento dei dati personali sta diventando, con lo sviluppo sempre più rapido della tecnologia, un tema sempre più caldo. Oggi tutti noi, mentre navighiamo in internet, veniamo di fatto profilati. E’ capitato a tutti noi di cercare qualcosa nel web e poi vederci apparire pubblicità di quel prodotto in tutti i siti ed i social network che apriamo. Questo ci fa capire che i dati personali, i nostri gusti, le nostre aspirazioni, le nostre abitudini, sono ormai un business. Proprio per questo l’Unione Europea ha voluto introdurre una nuova normativa che tutela i dati personali e fissa delle regole precise per trattare i dati. Questa nuova disciplina è all’interno del GDPR [1].

Il GDPR è un regolamento europeo e, come tale, è in grado di produrre effetti subito e direttamente in tutti i Paesi membri senza che questi debbano approvare delle leggi interne per dare attuazione al GDPR. E’ dunque un obbligo delle azienda dallo scorso 25 maggio 2018 rispettare le regole del GDPR.

A chi si applica il GDPR?

Il GDPR si applica a qualsiasi soggetto o ente che ponga in essere un trattamento di dati personali. Sono, quindi, soggetti al rispetto del GDPR società e aziende private, enti pubblici, persone fisiche. Chiunque tratti dati personali altrui deve rispettare il regolamento.

Ma quando può parlarsi di trattamento di dati personali? Ce lo dice lo stesso GDPR. Innanzitutto è, però , necessario capire che cos’è un dato personale. In base al GDPR per «dato personale» deve intendersi qualsiasi informazione riguardante una persona fisica identificata o identificabile (che il GDPR definisce «interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

E’ dunque evidente che dato personale è il nome, il cognome, la mail personale, il numero di cellulare, e molto altro.

Per trattamento di dati personali si intende, sempre secondo le definizioni del GDPR, qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Quindi, ogni volta che si “maneggia” un dato personale si ha un trattamento.

Quando nominare il responsabile del trattamento?

Le regole del GDPR non sono pensate in astratto ma derivano, al contrario, dall’osservazione concreta di ciò che succede nelle aziende e nei luoghi di lavoro. E’ evidente che molto spesso l’azienda tratta i dati personali non direttamente ma tramite altri soggetti che, di solito, svolgono una prestazione o erogano un servizio all’azienda e, nel fare questo, devono trattare dati personali.

Facciamo un esempio. Ogni azienda tratta i dati personali dei propri dipendenti. Per poter assumere una persona, infatti, l’azienda deve conoscere i dati personali del dipendente. Alcune aziende per elaborare le buste paga si avvalgono di consulenti esterni, di solito commercialisti o consulenti del lavoro. E’ evidente che il consulente del lavoro, per poter preparare la busta paga, deve conoscere nome, cognome, indirizzo, iban, etc. del dipendente. In questo caso il consulente sta trattando i dati per conto dell’azienda.

Il GDPR [2] afferma che qualora un trattamento debba essere effettuato per conto del titolare del trattamento, e cioè dell’azienda, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR stesso e garantisca la tutela dei diritti dell’interessato.

Il responsabile del trattamento può nominare un altro responsabile?

Il responsabile del trattamento non può ricorrere ad un altro responsabile del trattamento senza aver ottenuto la previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento deve informare il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

Come nominare il responsabile del trattamento?

Il GDPR esige che l’azienda nomini il responsabile del trattamento con un atto scritto, un vero e proprio contratto. Il contratto deve vincolare il responsabile del trattamento al titolare del trattamento e deve identificare:

  • la materia disciplinata;
  • la durata del trattamento;
  • la natura e la finalità del trattamento;
  • il tipo di dati personali trattati e le categorie di interessati;
  • gli obblighi e i diritti del titolare del trattamento.

In particolare, il contratto o altro atto di nomina deve prevedere che il responsabile del trattamento:

  • tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale;
  • garantisca che le persone autorizzate al trattamento dei dati personali da lui nominate (di solito sono i dipendenti del responsabile) si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  • adotti tutte le misure di sicurezza richieste dal GDPR;
  • nomini un altro responsabile del trattamento attenendosi alle regole del GDPR;
  • tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato previsti dal GDPR (accesso ai dati, rettifica, cancellazione, opposizione al trattamento, etc.);
  • assista il titolare del trattamento;
  • su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti;
  • metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dal GDPR e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Si consideri che quando il responsabile del trattamento ricorre ad un altro responsabile del trattamento, tra i due responsabili dovrà essere sottoscritto un altro contratto con il quale gli obblighi del responsabile sono trasferiti al sub-responsabile.

In definitiva, il GDPR vuole evitare che vi sia uno scarica barile con riferimento agli obblighi da rispettare.

NOMINA A RESPONSABILE ESTERNO DEL TRATTAMENTO

La Società _____, con sede a ___, in via _____, n. ____, P.Iva________, in persona del legale rappresentante pro-tempore, Titolare del trattamento dei dati relativi alle attività di propria competenza;

preso atto che sulla base di accordo/contratto del (data del contratto) è stato affidato il servizio di_________;

ai sensi dell’art. 28 del General Data Protection Regulation (GDPR) 679/2016

NOMINA

La Società _____, con sede a ___, in via _____, n. ____, P.Iva________, in persona del legale rappresentante pro-tempore, Responsabile esterno del trattamento nel rispetto di tutte le norme della disciplina sulla Privacy.

In particolare, il Responsabile esterno del trattamento dovrà:

conservare dei registri delle proprie attività di trattamento, al fine di essere in grado di fornire le informazioni incluse in tali registri alle autorità di controllo, su loro richiesta;

  • garantire la riservatezza delle informazioni, dei documenti e degli atti amministrativi, dei quali venga a conoscenza durante l’esecuzione della prestazione;
  • garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  • trattare i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
  • garantire la sicurezza dei dati personali attuando le misure di sicurezza idonee così come previste dall’art. 32 GDPR;
  • attenersi alle regole relative all’impegno dei sub-responsabili se è stato autorizzato alla nomina e che i sub-responsabili devono essere nominati alle stesse condizioni previste nel contratto tra il titolare del trattamento e il responsabile del trattamento;
  • tenendo conto della natura del trattamento, assistere il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato;
  • collaborare con il titolare del trattamento dei dati qualora sia chiamato davanti alle Autorità di controllo;
  • su richiesta del titolare del trattamento, restituire o distruggere i dati personali al termine dell’accordo, salvo quanto diversamente richiesto dalla legge dell’Unione o dello Stato italiano;
  • fornire al titolare del trattamento tutte le informazioni necessarie a dimostrare la conformità con il GDPR;
  • consentire che il Titolare, come imposto dalla normativa, effettui verifiche periodiche in relazione al rispetto delle presenti disposizioni;
  • informare immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

Si precisa che tale nomina sarà valida per il tempo necessario ad eseguire le operazioni affidate dal Titolare e si considererà revocata a completamento dell’incarico.

Il Responsabile esterno del trattamento mantiene indenne il Titolare del Trattamento per qualsiasi danno, incluse le spese legali, che possa derivare da pretese avanzate nei rispettivi confronti a seguito dell’eventuale illiceità o non correttezza delle operazioni di trattamento che siano a lui imputabili.

Data, luogo

Firma del titolare del trattamento                               Firma del responsabile del trattamento

note

[1] Regolamento Europeo (UE) del Parlamento Europeo e del Consiglio n. 679/2016.

[2] Art. 28 GDPR.


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI