Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Privacy: chi è il responsabile del trattamento dei dati personali

In base alla normativa vigente, il responsabile del trattamento dei dati personali è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (GDPR, art. 4, par. 1, n. 8).

La legge prevede che il titolare, dopo aver stabilito i mezzi e le finalità del trattamento dei dati, designi un responsabile che metta in atto nella pratica il trattamento stesso secondo questi mezzi e finalità, nel rispetto della privacy degli interessati.

 

Riferimenti legislativi sul responsabile del trattamento

La norma organica italiana che regolava il ruolo e i limiti del responsabile del trattamento era il codice in materia della protezione dei dati, o codice della privacy, emanato con il decreto legislativo 196/03, che ha sostituito la precedente legge del 1996.

L’entrata in vigore del GDPR (Regolamento generale sulla protezione dei dati, regolamento europeo n. 2016/679) ha superato il suddetto D. Lgs. 196/03, e tuttora disciplina il settore della protezione dei dati personali in Europa.

Benché l’art. 4 (comma 1, lett. G) del codice della privacy italiano determinasse la funzione del responsabile in maniera simile al GDPR, esso è stato abrogato dal legislatore con il D. Lgs. 101/18 con cui l’Italia ha recepito il GDPR, sostituendolo appunto con la definizione sopra riportata.

Requisiti del responsabile del trattamento

Il GDPR ha conferito alla figura del responsabile un carattere professionale che precedentemente, nel codice della privacy, essa non possedeva necessariamente.

L’articolo 28 del Regolamento stabilisce che il responsabile deve presentare “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato”. Ciò implica che il responsabile dei dati deve dimostrare di avere:

  • una competenza specifica, secondo quanto stabilito dalla normativa UNI 11697:2017, derivante dalla frequenza e dal superamento di appositi corsi di formazione;
  • una più che sufficiente affidabilità, sulla base di criteri deontologici ed etici (dall’assenza di condanne penali alla soddisfazione del cliente);
  • tutte le risorse tecniche, economiche e pratiche necessarie a rispondere ai propri obblighi, stabiliti dal contratto con il titolare del trattamento, in ottemperanza alla legislazione vigente.

Tutto ciò implica che, a differenza di quanto era stato recepito con il Codice Privacy del 2003, il titolare non può designare un responsabile interno all’organizzazione, ma deve trattarsi obbligatoriamente di una figura terza.

In base al Regolamento dell’UE, l’attività del trattamento svolta dal responsabile va specificata mediante un apposito atto giuridico (detto contratto di designazione o Data Protection Agreement) tra il titolare o i titolari del trattamento e il responsabile stesso. Il contratto deve prevedere che:

  • il responsabile risponda del proprio operato al titolare, condividendo la responsabilità di errori o mancanze nel corso del trattamento;
  • mezzi, finalità, durata e modalità del trattamento e del trasferimento dei dati siano stabiliti dal titolare ed espressamente chiariti;
  • vengano specificati, nell’ottica della trasparenza, la tipologia dei dati trattati e le categorie degli interessati, nonché tutti gli obblighi da adempiere e i diritti esercitabili da parte del titolare nei confronti del responsabile e viceversa.

Compiti del responsabile del trattamento

In base alla forma del suddetto contratto, il responsabile o i responsabili del trattamento hanno l’obbligo di:

  • trattare i dati personali solo secondo le disposizioni del titolare e dimostrare al titolare che i dati sono stati trattati nel modo concordato, nel rispetto della direttiva europea, della trasparenza e dell’informativa sottoscritta dai soggetti interessati (tenendo, tra le altre cose, il registro dei trattamenti svolti);
  • garantire la privacy degli interessati, facendo in modo che tutti i suoi dipendenti addetti al trattamento, ossia le persone fisiche che concretamente si occupano della gestione dei dati, siano stati sottoposti a una formazione specifica e abbiano l’obbligo formale alla riservatezza;
  • al medesimo scopo, analizzare nel concreto le probabilità di rischio connesse alla conservazione e alla salvaguardia dei diritti degli interessati, e di conseguenza sovrintendere all’attuazione di tutte le misure di sicurezza richieste dal GDPR, art. 32 (tra cui la pseudonimizzazione e la cifratura dei dati oggetto del trattamento, la capacità di ripristinare tempestivamente l’accesso ai dati in caso di problemi tecnici, la verifica dell’efficacia di questi e altri eventuali provvedimenti);
  • sottostare a tutti gli adempimenti della legge nel corso della designazione di un altro responsabile, degli addetti o di un sub-responsabile (o responsabile di secondo livello);
  • cancellare o restituire ogni dato personale una volta terminata la procedura di trattamento oppure su richiesta, consenso o autorizzazione del titolare o reclamo degli interessati;
  • assistere il titolare con la sua consulenza, fornendogli tutte le informazioni e i documenti indispensabili relativi al trattamento del caso, collaborando per garantire l’ottemperanza agli obblighi di legge, e proponendo tutte le disposizioni organizzative, tecniche e pratiche utili a svolgere il trattamento in sicurezza e nel rispetto dei diritti degli interessati.

Responsabilità relative al trattamento

Se si verifica una violazione delle norme sulla privacy, sia il responsabile che il titolare rispondono per il danno causato agli utenti interessati, in base all’art. 82 del GDPR.

Di per sé, la maggior parte della responsabilità del danno grava sul titolare; tuttavia, quest’ultimo ne è in tutto o in parte esonerato nel caso in cui la violazione sia dovuta al mancato adempimento, da parte del responsabile, dei suoi specifici obblighi, ovvero se:

  • ha agito in maniera non conforme o contraria alle istruzioni del titolare;
  • non ha effettuato i controlli e le verifiche di sicurezza che, in base alla situazione legale, sarebbero di sua competenza;
  • non ha comunicato tempestivamente al titolare o al garante le possibilità di violazioni o di rischi nel corso del trattamento o non è stato in grado di fornire le informazioni necessarie a un controllo, una valutazione o a un audit;
  • il danno in questione è imputabile a un sub-responsabile da lui nominato.

Naturalmente, titolare e responsabile sono esentati dalla responsabilità del danno qualora possano dimostrare di aver adottato tutte le misure di sicurezza previste dalle regole europee e i vari accorgimenti per evitare la violazione avvenuta.