Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

I Responsabili del trattamento vanno sempre nominati: attenzione alle possibili sanzioni

L’art. 4 del GDPR definisce la figura del Responsabile del Trattamento come (data processor)  “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

In materia di protezione dei dati personali i rapporti con i fornitori di servizi che trattano dati personali per conto del Titolare del trattamento devono essere sempre formalizzati con uno specifico contratto o con un documento equivalente.

A differenza di quanto previsto dal Codice Privacy prima dell’entrata in vigore del GDPR, la figura del Responsabile del Trattamento si riferisce unicamente a un soggetto esterno all’azienda, incaricato di specifici adempimenti.

Alcuni fornitori che nell’erogazione dei servizi possono trattano dati personali per conto del Titolare sono ad esempio:

  • Studio di contabilità che elaborano le buste paga del personale
  • Enti di formazione
  • RSPP
  • Società che a cui sono affidate le attività di controllo degli accessi, inclusa la rilevazione della temperatura come da protocolli COVID
  • Società che gestiscono gli impianti di videosorveglianza
  • Società che gestiscono campagne marketing per conto dell’azienda

Il Responsabile che volesse ricorrere ad ulteriori sub-responsabili del trattamento nell’erogazione dei servizi dovrà essere sempre precedentemente autorizzato dal Titolare del trattamento.

Il rapporto tra azienda Titolare del Trattamento e Responsabile del Trattamento deve essere quindi regolarizzato in merito alle modalità di trattamento dei dati personali. In mancanza di questa formalizzazione, l’azienda potrebbe incorrere nelle sanzioni di cui all’art. 83 GDPR.

Quali sanzioni sono previste per il Titolare del Trattamento o per il Responsabile del Trattamento?

Il Titolare del trattamento, o il Responsabile, possano essere sanzionati fino a 10.000.000 euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, in caso di mancato rispetto degli obblighi previsti dagli articoli 8, 11, da 25 a 39, 42 e 43 (art. 83, 4° Comma, let. a), GDPR).

In merito alle categorie di dati si fa riferimento in particolare ai trattamenti che si riferiscono a:

  • 8 – condizioni applicabili al consenso dei minori applicabili alla società dell’informazione
  • 9 – categorie particolari di dati (dati sensibili)
  • 10 – trattamento di dati relativi a condanne penali o reati

In merito agli adempimenti previsti dal GDPR si fa riferimento ad esempio:

  • 25 – protezione dei dati fin dalla progettazione dei servizi (by design)e per impostazioni predefinite (by default)
  • 28 – designazione di Responsabili o Subresponsabili del trattamento
  • 30 – tenuta dei registri di attività di trattamento come Titolare e Responsabile
  • 32 – misure tecniche e organizzative adeguate per garantire un livello di sicurezza del trattamento adeguato al rischio di mettere a repentaglio i diritti e le libertà degli interessati a cui i dati si riferiscono
  • 33 – obbligo di notifica di un data breach all’Autorità Garante
  • 34 – obbligo di comunicazione di un data breach agli interessati se questo costituisce un rischio per i i diritti e le libertà degli interessati a cui i dati si riferiscono
  • 35 – Valutazione di impatto per trattamenti considerati ad alto rischio per i diritti e le libertà degli interessati
  • 37 – Nomina del DPO

Anche nell’ambito del trattamenti di dati personali affidati all’esterno, devono essere quindi garantiti:

  • i diritti e le libertà delle persone;
  • il principio di necessità: il trattamento si deve limitare a quanto necessario per svolgere i compiti affidati;
  • il principio di limitazione del trattamento: i dati devono essere accessibili solo a persone autorizzate;
  • le misure di protezione, adeguate al livello di rischio per i diritti e le libertà degli interessati correlato al trattamento.

I trattamenti dei dati personali effettuati da un soggetto esterno – quali garanzie

Il Titolare del Trattamento deve poter assicurare agli interessati che i dati trattati da un soggetto esterno possano godere delle medesime garanzie in termini di riservatezza, integrità e disponibilità dei dati; tre caratteristiche che si collegano ai diritti degli interessati. Per questo motivo è necessario:

  • identificare un fornitore di servizi adeguato in termini di competenze, adeguatezza organizzativa, possibilità di supporto;
  • definire le modalità del trattamento dei dati, attraverso istruzioni di dettaglio, capitolati tecnici, clausole contrattuali;
  • designare il soggetto come Responsabile del Trattamento ai sensi dell’art. 28 del GDPR;
  • dimostrare di aver verificato l’adeguatezza tramite una procedura di selezione e qualifica.

L’art. 28 GDPR – gli obblighi del Responsabile

Il Responsabile del Trattamento è sempre tenuto a rispettare le istruzioni ricevute dal Titolare e attenersi a quanto concordato con lo stesso. Proprio per questa ragione, la mancata nomina del Responsabile è passibile di sanzione amministrativa.

L’art. 28, comma 3°, GDPR dispone, infatti, che: “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.

Come procedere:

  • predisporre un modello contrattuale/accordo quadro che integra il contratto di servizi con la designazione di Responsabile del Trattamento, in alternativa predisporre un documento di designazione;
  • fornire istruzioni precise o capitolati tecnici dedicati alla tipologia di servizio: la società che gestisce la manutenzione della rete informatica aziendale necessariamente dovrà garantire misure di sicurezza diverse dal RSPP che si reca in azienda per effettuare i controlli necessari a predisporre la valutazione dei rischi o dall’Istituto di Vigilanza;
  • fornire istruzioni precise circa la possibilità di ricorrere a sub-responsabili da parte del Responsabile del Trattamento;
  • aggiornare il Registro delle attività di trattamento (art. 30 GDPR) inserendo i riferimenti ai trattamenti di dati personali effettuati da soggetti esterni
  • predisporre l’elenco di tutti i fornitori di servizi che trattino dati per conto dell’Azienda, specificando quali tipologie di dati personali vangano condivisi, e per quali finalità.

 

Il contenuto dell’atto di designazione del Responsabile del trattamento

Il Titolare del trattamento è il soggetto che definisce le modalità e le finalità del trattamento, pertanto l’atto di designazione del Responsabile del Trattamento, anche da integrare in un contratto quadro, deve contenere indicazioni in riferimento ai seguenti punti:

  • riferimento alle istruzioni documentate da adottare fornite del titolare del trattamento (procedure, istruzioni, capitolati tecnici, ecc.). Le istruzioni devono essere fornite anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento;
  • indicazioni sull’impegno o obbligo legale alla riservatezza delle persone incaricate e opportunamente autorizzate al trattamento dei dati personali per conto del Responsabile;
  • adozione di tutte le misure di protezione richieste ai sensi dell’articolo 32 GDPR per garantire la riservatezza, la disponibilità e l’integrità dei dati personali;
  • assistenza al Titolare del trattamento nell’esercizio dei diritti degli interessati (con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile);
  • assistenza al titolare del trattamento nel garantire il rispetto degli obblighi previsti in caso di data breach, notifica al Garante, comunicazione agli interessati, Valutazione di Impatto, Consultazione preventiva al Garante (artt. 32-36 GDPR)
  • modalità di restituzione, conservazione o cancellazione dei dati alla fine dei servizi, salvo la persistenza di obblighi connessi a disposizioni normative.
  • collaborazione con il Titolare del trattamento nel dimostrare il rispetto degli obblighi previsti dal Responsabile, compresa la possibilità di revisione degli obblighi concordati o di ricevere ispezioni da parte de Titolare del trattamento o da un altro soggetto da questi incaricato.

Gli stessi contenuti devono essere inseriti nell’atto di designazione del sub-responsabile del trattamento da parte del Responsabile del trattamento, qualora ne faccia ricorso su autorizzazione del Titolare del trattamento. Qualora il sub-responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile conserva nei confronti del Titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

L’adeguatezza dell’operato del Responsabile del Trattamento può essere verificata attraverso vari strumenti:

  • questionari di valutazione sulle misure tecniche e organizzative adottate in conformità al GDPR
  • verifiche documentali a campione (es. il Registro del Trattamento tenuto dal Responsabile, le misure di sicurezza adottate, le istruzioni al personale autorizzato al trattamento)
  • verifiche in campo sull’operato del Responsabile, anche attraverso audit presso il fornitore, da condurre con le medesime metodologie adottate per gli audit previsti dalle norme ISO

A seguito delle verifiche possono essere evidenziate delle lacune o delle aree di miglioramento, da colmare con piani di azione e tempistiche concordate.

 

Chi sono i Responsabili del trattamento in materia di salute e sicurezza nei luoghi di lavoro?

Come abbiamo anticipato, si tratta di tutti quei fornitori di servizi esterni a cui vengono affidati specifici compiti in materia di salute e sicurezza. Esemplificando, potrà essere inquadrata come Responsabile del trattamento la società incaricata del servizio di RSPP, o che svolga attività di consulenza e formazione sul tema sicurezza sul lavoro.

Quali categorie di dati trattano i Responsabili del Trattamento nell’ambito della Salute e Sicurezza sul lavoro?

  • dati di contatto dei referenti aziendali
  • dati identificativi e anagrafici dei dipendenti
  • dati relativi allo stato di salute (in caso di infortunio)

Quali adempimenti devono adottare?

  • mappatura dei trattamenti eseguiti come Responsabile e Registro dei trattamenti
  • adozione di misure di sicurezza adeguate
  • istruzioni/formazione alle persone autorizzate in base alla valutazione dei rischi effettuata
  • comunicazione di eventuali data breach al Titolare
  • elenco di eventuali sub-responsabili
  • eventuale obbligo di nominare un DPO

Con quale base giuridica possono trattare i dati per contro del Titolare del Trattamento?

La base giuridica che autorizza il trattamento di dati personali da parte del Responsabile si riferisce a un contratto di servizi e alla designazione come Responsabile del Trattamento

 

Il ruolo del Medico competente

Non si tratta di un Responsabile Esterno del trattamento. Il Medico competente svolge il proprio incarico in materia di protezione dei dati personali in autonomia.

Con nota n. 7797, del 27 febbraio 2019, il Garante ha precisato che “[…] nello svolgimento dei compiti che la legge gli attribuisce in via esclusiva (attività di sorveglianza sanitaria e tenuta delle cartelle sanitarie e di rischio dei singoli lavoratori), il professionista è l’unico legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per tale finalità, non potendo essere in alcun modo trattate dal datore di lavoro informazioni relative, ad esempio, alla diagnosi o all’anamnesi familiare del lavoratore, se non con riferimento al solo giudizio di idoneità alla mansione specifica ed alle eventuali prescrizioni che il professionista fissa come condizioni di lavoro”.