Regolamento UE e responsabile del trattamento: cosa cambia

Posted onAuthorStefano BendandiLeave a comment

""

Photo courtesy Pixabay

Rispetto al codice vigente, il regolamento europeo sulla privacy contiene prescrizioni di maggior dettaglio (art. 28) sulla figura del responsabile del trattamentocioè la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare.

Il trattamento dei dati personali per conto del titolare attua una forma di partecipazione ad uno o più trattamenti da parte del responsabile, senza che quest’ultimo abbia la possibilità di determinare i mezzi e le finalità dei trattamenti stessi. Se tale possibilità esistesse non si potrebbe parlare più di responsabile ma, eventualmente, di contitolare.

Pertanto il responsabile è, di fatto, quella parte che si affianca al titolare, coadiuvandolo in varie attività. E di questo si può ritrovare traccia anche in alcuni obblighi di assistenza del titolare che sono stati posti a suo carico.

Il ricorso alla figura del responsabile del trattamento è e rimane un atto facoltativo da parte del titolare. La norma fa soltanto riferimento all’ipotesi in cui il trattamento debba essere effettuato per conto del titolare. Ma allora quando si verifica una tale ipotesi?

Un classico esempio si ha quando il titolare decida di avvalersi di terze parti che forniscono servizi che gli sono necessari e questi servizi richiedano, per la loro natura o per il modo in cui sono resi, il trattamento di determinati dati personali. Ad esempio, un consulente del lavoro per poter offrire un servizio di elaborazione delle buste paga o di amministrazione del personale ha bisogno dei dati personali dei dipendenti e collaboratori del titolare.

In casi come questi, dunque, il fornitore deve effettuare un trattamento per conto del titolare e allora c’è bisogno della sua nomina come responsabile. Tuttavia, considerata la rilevanza di tale figura, al titolare viene richiesto di avvalersi di quei soli responsabili che presentino garanzie sufficienti.

Cosa sono le “garanzie sufficienti”

Il regolamento europeo sulla privacy non offre una definizione puntuale dell’espressione garanzie sufficienti; tuttavia, sembra che la sufficienza sia da mettere in relazione con la capacità del responsabile di attuare misure tecniche ed organizzative adeguate a garantire il rispetto dei requisiti del regolamento e dei diritti degli interessati.

Il fatto che il titolare debba ricorrere ai soli responsabili in possesso di garanzie sufficienti fa pensare ad una sua precisa responsabilità nel caso in cui scelga una figura priva dei requisiti richiesti. Ma come si dimostra il possesso di tale requisito?

L’art. 28, comma 5, dice solo:

L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.

Questo non esclude la possibilità di avvalersi anche di responsabili non aderenti ad un codice di condotta o ad un meccanismo di certificazione relativo alla protezione dei dati personali, purché il titolare abbia l’accortezza di richiedere al responsabile e documentare una dimostrazione della sufficienza delle garanzie che è in grado di offrire.

Come si nomina il responsabile

I trattamenti svolti dal responsabile devono essere regolati da un contratto o altro atto giuridico stipulato in forma scritta, anche in formato elettronico. E’ previsto che il contratto disciplini in modo tassativo almeno i seguenti aspetti (art. 28, par. 3):

  1. natura, durata e finalità del trattamento o dei trattamenti
  2. tipo di dati personali e categorie di interessati
  3. obblighi e i diritti del titolare del trattamento

Le previsioni relative al contenuto del contratto diventano importanti anche al fine di poter dimostrare che il possesso da parte del responsabile di garanzie sufficienti. La commissione e le autorità di controllo stanno, comunque, valutando la definizione di clausole modello da utilizzare a questo scopo.

La nomina di altri responsabili

La nomina di eventuali altri responsabili o sub-responsabili del trattamento è regolata nei paragrafi 2 e 4 dell’art. 28; si tratta di aspetti molto importanti, soprattutto per la regolamentazione dei rapporti tra le varie parti nei casi ad esempio di subappalto.

Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche (art. 28, comma 2)

La regola generale è dunque questa: non è possibile ricorrere ad altri responsabili, a meno che il titolare non abbia concesso la propria autorizzazione scritta, specifica o generale. Se l’autorizzazione ha carattere generale il responsabile deve informare il titolare dell’eventuale aggiunta o sostituzione di altri responsabili in modo che possa opporsi, se lo vuole.

Esiste poi un altro limite ben preciso dal punto di vista degli obblighi contrattuali dei sub-responsabili :

Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di
specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile (art. 28, comma 4)

Pertanto ogni contratto che interessi un sub-responsabile deve imporre a quest’ultimo gli stessi obblighi di protezione dei dati personali che sono stabiliti nel contratto tra il titolare e il responsabile principale. Ma non basta, perché il responsabile principale risponde degli eventuali inadempimenti agli obblighi di protezione dei dati da parte dei sub-responsabili, a meno che non riesca a dimostrare che nessuna responsabilità per i danni gli può essere imputata.

Quindi nell’esempio fatto a proposito del consulente del lavoro, se quest’ultimo si avvale per l’elaborazione delle paghe di un altro servizio offerto da una terza parte, quest’ultima dovrà essere nominata come sub-responsabile, sempre che vi sia l’autorizzazione del titolare, e i rapporti tra il consulente in veste di responsabile principale e sub-responsabile dovranno essere regolati da un contratto conforme a quanto indicato.

Quali azioni occorrono per essere in regola

Come abbiamo visto, le principali  novità introdotte dal regolamento europeo sulla privacy riguardano l’atto di nomina del responsabile, i contenuti di questo atto e i limiti relativi alla nomina di altri responsabili e dei loro obblighi di protezione.  E su queste aree che si dovrebbero concentrare le azioni che i titolari del trattamento dovrebbero compiere entro la data del 25 maggio 2018:

  1. verifica che tutti i rapporti esistenti con i responsabili siano disciplinati da un contratto o altro atto giuridico e che questo sia conforme alle indicazioni dell’art. 28, comma 3;
  2. verifica dell’esistenza della volontà del titolare di autorizzare l’aggiunta o la sostituzione di sub-responsabili; se questa volontà non sussiste, non sarà possibile avvalersi di sub-responsabili del trattamento;
  3. verifica che, in caso di esistenza di sub-responsabili, i rapporti tra questi e il responsabile principale siano regolati da un contratto conforme alle indicazioni dell’art. 28, comma 4

L’inosservanza di tale norma è soggetta a sanzioni amministrative pecuniarie fino a 10.000.000 di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente.

Vuoi richiedere una verifica di conformità relativa ai responsabili del trattamento?
Clicca sul bottone per avere maggiori informazioni, senza alcun impegno.

 Contattaci per maggiori informazioni 

Iscriviti alla nostra newsletter e unisciti agli altri.
Proteggiamo la riservatezza dei tuoi dati e li utilizziamo solo per inviarti la newsletter. Se hai dato il consenso i tuoi dati saranno utilizzati anche per finalità di marketing e comunicazione commerciale. I tuoi dati saranno condivisi soltanto con i fornitori di servizi essenziali che permettono l'invio della newsletter e di altre comunicazioni. Per maggiori informazioni consulta la Privacy Policy
Do il consenso per trattare i miei dati personali a scopo di marketing
Condividi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.