La designazione del responsabile del trattamento nel GDPR

Hai un’azienda o un’impresa che implica il trattamento dei dati personali? Sei un datore di lavoro che tra le varie mansioni deve occuparsi della Privacy dei dipendenti?

Spesso capita di dover delegare le proprie mansioni ad altri soggetti per gestire al meglio la propria attività, ecco cosa devi sapere prima di nominare il tuo Responsabile.

Chi è il Responsabile del Trattamento?

Il Responsabile del Trattamento è quel soggetto che si occupa di trattare i dati dell’interessato per conto del Titolare (se vuoi saperne di più sulla figura del Titolare leggi qui il nostro articolo dedicato).

Il GDPR consente al Titolare di delegare le sue mansioni ad un altro soggetto, che deve compiere gli stessi doveri a lui imposti dalla normativa. L’articolo 4 del Regolamento difatti definisce il Responsabile del Trattamento come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Come scegliere il Responsabile del Trattamento?

La figura del Responsabile del Trattamento è molto importante, quasi al pari del Titolare del Trattamento, con il quale si divide le Responsabilità e gli obblighi. Per questo motivo è importante che nella scelta del Responsabile si tenga conto del ruolo e delle mansioni che andrà a svolgere.

L’articolo 28 del GDPR dispone che il Titolare deve ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

Come fare la designazione?

La designazione del Responsabile deve essere fatta seguendo una forma specifica.

Il Responsabile non può essere designato oralmente, ma è necessaria la stipula di un contratto o di un altro atto giuridico vincolante, in forma scritta, anche in formato elettronico.

Cosa deve contenere il contatto di designazione?

Il contratto deve contenere tutto ciò che è necessario a regolamentare il trattamento dati ad opera del Responsabile per conto del Titolare, al quale resta vincolato, ed in particolare:

  • L’oggetto del trattamento dati, ovvero quali dati devono essere trattati.
  • La durata del trattamento per conto del Titolare.
  • La tipologia di dati da trattare.
  • La categoria dei soggetti interessati.
  • La natura e la finalità del trattamento.
  • Gli obblighi e i diritti del Titolare del trattamento.

È disposto, inoltre, che il contratto preveda espressamente che il Responsabile del Trattamento:

  • Tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
  • Garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  • Adotti tutte le misure previste per la sicurezza del Trattamento
  • Rispetti le condizioni previste dalla normativa per ricorrere a un altro responsabile del trattamento;
  • Tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato;
  • Assista il titolare del trattamento nel garantire il rispetto degli obblighi previsti, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
  • Su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti;
  • Metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi, e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.
  • Informi immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il Regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

Il Responsabile può rifiutare la sua designazione?

Il Regolamento nulla dispone sul possibile rifiuto del soggetto designato, né sulle conseguenze derivanti dalla mancata sottoscrizione del contratto. Come deve comportarsi il Titolare del trattamento se il Responsabile designato non accetta la nomina?

Il Regolamento non parla di una vera e propria nomina del Responsabile, si limita a disporre che i trattamenti svolti dal Responsabile, per conto del Titolare, devono essere disciplinati da un contratto o da altro atto giuridico. In realtà la qualifica di Responsabile del Trattamento dei dati non deriva dalla mera designazione da parte del Titolare, ma è più una situazione di fatto che si concretizza solo formalmente nel contratto. Colui che viene designato come Responsabile, infatti, è lo stesso soggetto che già si occupa, assieme al Titolare, e per suo conto, del trattamento dei dati. È chiaro che se il Titolare incarica o delega alcuni soggetti di trattare i dati per suo conto, questi divengono Responsabili del Trattamento, a prescindere dalla correttezza formale della designazione.

Cosa fare dunque se dopo la designazione del Responsabile questo rifiuta di sottoscrivere il contratto? Ci sono delle possibili conseguenze per il Titolare del Trattamento?

Se il soggetto designato rifiuta l’incarico poiché di fatto non svolge alcun Trattamento dati per conto del Titolare, basterà effettuare un normale controllo ed accertarsi che effettivamente ciò sia vero.

Se invece il soggetto designato rifiuta l’incarico solo per non rispondere degli obblighi e delle responsabilità a suo carico, si ritiene opportuno chiarire al designato Responsabile gli obblighi inderogabili imposti dalla normativa, come quello di nominare come Responsabile chi svolge questo ruolo di fatto, e renderlo edotto sulla circostanza che lo svolgimento di determinate mansioni consegue determinate responsabilità a prescindere dalla sottoscrizione del contratto di designazione.

Visto il silenzio della Normativa, che non disciplina eventuali rifiuti della designazione, e la forte probabilità per il Titolare del trattamento di incorrere in Responsabilità per violazioni del GDPR, si consiglia di tenere traccia dei dialoghi intercorsi con i propri consulenti o fornitori, ed in generale con i soggetti che trattano i dati per vostro conto, che si rifiutano di essere nominati Responsabili (e-mail, bozze di contratti ecc..), affinchè sia possibile dimostrare di aver tentato di attenersi alle disposizioni del GDPR, e che non si è mancato di stipulare il contratto per mera negligenza del Titolare, ma per esclusiva riluttanza di chi dovrebbe essere nominato Responsabile del Trattamento ai sensi dell’articolo 28 del GDPR.

Se vuoi saperne di più sull’argomento non esitare a contattarci. Se l’articolo ti è piaciuto condividilo.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *