Il responsabile del trattamento, ai sensi del Regolamento UE relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali, (GDPR), è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
A titolo esemplificativo, possono essere considerati responsabili esterni di un’organizzazione:
- Consulente del lavoro;
- Commercialista;
- Fornitore di servizi di manutenzione di sistemi informatici;
- Fornitore di servizi cloud;
- Consulente aziendale esterno.
L’articolo 28 del GDPR precisa che il responsabile del trattamento deve presentare delle garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale da garantire la tutela dei diritti dell’interessato. Inoltre, il responsabile deve essere vincolato al titolare del trattamento tramite un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
Il contratto o altro atto giuridico deve prevedere, in particolare, che il responsabile del trattamento:
tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
- garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- adotti misure tecniche e organizzative adeguate per garantire la sicurezza del trattamento, (articolo 32);
- non ricorra ad un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento, (articolo 28, par. 2 e 4);
- tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato;
- assista il titolare del trattamento nel garantire il rispetto degli obblighi di sicurezza, notifica di una violazione dei dati personali all’autorità di controllo, comunicazione di una violazione dei dati personali all’interessato, valutazione d’impatto sulla protezione dei dati e consultazione preventiva, (articoli da 32 a 36), tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
- su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;
- metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.
La designazione del responsabile esterno da parte del titolare del trattamento avviene principalmente tramite nomina scritta con carta intestata dell’azienda/ente, oppure con accordo per il trattamento di dati personali, (data processing agreement). La seconda soluzione viene adottata spesso dai provider di servizi digitali. Il contratto e l’accordo includono spesso sub-allegati che contengono la lista dei sub-responsabili e l’elenco delle misure di sicurezza che il responsabile deve adottare.
In alcuni casi, il titolare richiedere al responsabile di compilare appositi questionari per verificare che quest’ultimo sia conforme al GDPR e può chiedere che vengano fornite evidenze a riprova di quanto dichiarato.
Casi concreti e recenti permettono di cogliere maggiormente l’importanza della nomina a responsabile esterno. Per esempio, in marzo 2021 la regione Lazio, come titolare del trattamento dati, è stata oggetto di sanzione di euro 75.000 da parte del garante privacy per la mancata designazione come responsabile trattamenti di una società cooperativa a cui è stata affidata la gestione delle prenotazioni delle prestazioni sanitarie.
N.B. I responsabili esterni del trattamento devono obbligatoriamente redigere e aggiornare il Registro delle attività di trattamento da responsabili ai sensi dell’art.30 del GDPR.
La tua organizzazione è stata nominata responsabile esterno del trattamento? La tua azienda non ha ancora nominato i suoi responsabili? Affidati ad Argo. Inviaci una mail a info@argobs.com e spiegaci le tue esigenze.