La scelta del Responsabile del trattamento. Alcune considerazioni

Photo by rawpixel.com on Unsplash

Photo by rawpixel.com on Unsplash

Il Responsabile del trattamento

Un tema molto rilevante riguarda la figura del Responsabile del trattamento, quello che viene definito nell’art. 4 punto 8) del Regolamento come colui che “tratta dati personali per conto del titolare del trattamento”.  In Inglese viene chiamato “processor”, come abbiamo già visto in un mio articolo precedente.  Ed in effetti il termine in Inglese rende molto meglio l’idea dell’attività svolta da tale figura.  Inoltre, e vi assicuro che mi è capitato fin troppe volte, il termine italiano viene spesso confuso con l’altro responsabile, quello indicato all’art. 37 del Regolamento: il Responsabile della protezione dei dati (individuato anche dall’acronimo RPD o, acronimo inglese, DPO).

Purtroppo tale figura, troppo spesso, non viene presa nella dovuta considerazione.  Anche se definita “Responsabile”, in realtà la responsabilità del trattamento dei dati è sempre in capo al Titolare, e per questo forse si tende a sottovalutare l’importanza del Responsabile del trattamento.  Soprattutto poi se ne viene nominato uno esterno, cosa anzi estremamente comune.

L’esternalizzazione

Capita così che ci si trovi a dover individuare “responsabili del trattamento esterni” che neppure sapevano di esserlo. O non si ritenevano assolutamente in dovere di sottostare al Regolamento GDPR in quanto non trattavano in proprio i dati, ma solo per conto di clienti (titolari del trattamento).  E qui si rischia di far cadere tutto quello che è l’impianto della normativa.

Molti Titolari del trattamento non si rendono conto dell’importanza della scelta di un Responsabile del trattamento in accordo con quanto viene riportato dal Regolamento.  Inoltre molti Responsabili non si rendono conto di che cosa sia richiesto loro dal Regolamento o di che cosa dovrebbe essere richiesto loro dai loro Titolari, cioè dai loro clienti.

Quindi se da un lato “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento.” (art. 25), dall’altro il titolare del trattamento “… ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.” (art.28).

Le caratteristiche richieste al Responsabile del trattamento

Queste poche righe sono fondamentali! Dettano una regola ferrea, un dovere nei confronti dei Titolari del trattamento: ricorrere unicamente a Responsabili del trattamento che siano in regola con la normativa GDPR.  Non ci si può affidare quindi a professionisti o agenzie esterne che non garantiscano l’adeguamento e l’operatività in totale accordo con la disciplina del GDPR.  Ecco che quindi tutti devono in qualche modo adeguarsi e seguire il Regolamento, anche se non si possa in alcun modo essere definiti Titolari del trattamento.

Uno dei casi più comuni riguarda la gestione affidata esternamente dei siti web della propria attività.  L’impresa assume un web-designer (spesso un professionista o una società specializzata) per creare, gestire, aggiornare le proprie pagine web (magari con form di contatto e informazioni, con pagine di e-commerce) ed anche le proprie pagine sui social.  Altro caso estremamente comune, ad esempio, è il consulente del lavoro che predispone le buste paga per una ditta con dipendenti.

Conclusioni

Se dal 25 maggio era necessario adeguare il contratto di servizi tra impresa e web-designer al GDPR, prima ancora andava condotta un’attenta analisi da parte dell’impresa che volesse affidare il trattamento dei dati a terzi.  Il consulente del lavoro o la società di web design a cui ci si è affidati fino ad oggi, è conforme al Regolamento?  Può garantire misure tecniche ed organizzative che assicurino che il trattamento dei dati a loro affidato venga svolto secondo il GDPR?  Se queste garanzie mancano, il fornitore di un servizio non dovrebbe essere confermato.

Purtroppo valutare queste garanzie, individuare la conformità alla normativa da parte di un fornitore terzo non è sempre facile.  Resta però fondamentale farlo, o almeno dimostrare che si è fatto di tutto per scegliere un Responsabile in grado di svolgere correttamente il suo compito in conformità al GDPR.  Anche per questo rimane molto importante aggiornare il contratto (scritto) di fornitura di servizi tra Titolare e Responsabile esterno.

Leave A Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.