La figura del responsabile del trattamento dati introdotta dal reg. Eu 2016/679

263

Il ruolo determinante del Responsabile del trattamento all’interno dell’organigramma aziendale e i suoi compiti alla luce del GDPR.

Il Regolamento europeo n. 2016/679 prevede tre diversi soggetti all’interno dell’organigramma privacy: il titolare del trattamento, il responsabile del trattamento e il responsabile della protezione dati; ognuno di questi è dotato di specifici obblighi e poteri.

Prima di soffermarmi sulla figura del Responsabile del trattamento per definire i suoi compiti e le sue responsabilità è opportuno fornire una breve definizione del titolare del trattamento in quanto lo stesso detiene il potere di nomina della figura oggetto di questo articolo.

Il Titolare del trattamento è la persona fisica o giuridica, la pubblica amministrazione o qualsiasi altro ente o organismo che, singolarmente o collaborando unitamente ad altri, determina le finalità e i mezzi necessari per il trattamento dei dati personali. Questa figura ha la responsabilità di adottare tutti gli accorgimenti necessari affinché il trattamento sia effettuato conformemente alla disciplina europea.

Il responsabile del trattamento, internazionalmente denominato Data Processor, invece, è una persona fisica, giuridica, un ente o la pubblica amministrazione che elabora i dati personali per conto del titolare del trattamento. Come precedentemente accennato il titolare del trattamento ha il potere di nominare uno o più responsabili.

Il regolamento EU, all’art.28 stabilisce che la nomina venga effettuata tramite contratto o altro atto giuridico conforme alla normativa dell’Unione Europea o al diritto nazionale. Il suddetto contratto vincola vicendevolmente il responsabile al titolare del trattamento e deve contenere espresse disposizioni in merito alla natura e la finalità del trattamento, la materia disciplinata, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

Il Garante della privacy nazionale precisa che il suddetto contratto deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti”. Inoltre, ai sensi dell’art. 28 regolamento EU n. 2016/679, il contratto o l’atto giuridico prescelto deve contenere una serie specifica di obblighi (previste in apposite clausole) posti in capo al responsabile del trattamento tra i quali: procedere al trattamento dei dati  in base alle istruzioni scritte fornitegli dal titolare del trattamento, fornire opportune garanzie che i soggetti autorizzati al trattamento dei dati personali rispettino l’obbligo di riservatezza e soprattutto chiedere al titolare del trattamento una preventiva autorizzazione qualora nell’espletamento dei suoi compiti voglia ricorrere ad un sub-responsabile (anche solo per l’esecuzione di specifiche attività).

In questa particolare ipotesi l’autorizzazione deve essere necessariamente scritta ma il suo contenuto può essere più o meno specifico. Il regolamento europeo prevede, nell’ipotesi di un’autorizzazione generale, il dovere in capo al responsabile del trattamento di informare il titolare in ordine ad eventuali modifiche riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

Il Data Processor, ai sensi dell’art. 30 del GDPR, ha l’obbligo di tenuta del registro di attività trattamento dati, nel quale dovranno essere registrate tutte le attività svolte per conto del Titolare del trattamento.

Inoltre, l’art. 32 del suddetto regolamento stabilisce che tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento sia il titolare che il responsabile del trattamento sono tenuti ad adottare misure tecniche e organizzative adeguate a garantire la sicurezza delle informazioni raccolte attraverso meccanismi di pseudonimizzazione e cifratura dei dati personali, assicurando la riservatezza, l’integrità e la resilienza dei sistemi di trattamento, provvedendo immediatamente in caso di incidente a ripristinare tempestivamente la disponibilità dei dati nonché a dotarsi di procedure volte a testare, verificare e valutare la regolare efficacia delle misure tecniche e organizzative volte a garantire la sicurezza del trattamento.

Il Garante italiano raccomanda, in tema di misure tecniche e organizzative di sicurezza, ai titolari e responsabili del trattamento di mantenere la struttura organizzativa e le modalità designazione degli incaricati di trattamento così come delineatesi nella prassi e dagli interventi che lo stesso Garante ha posto in essere.

Analizzando un ultimo aspetto, per quel che concerne la responsabilità nella gestione e utilizzo dei dati è necessario sottolineare che il Responsabile del trattamento risponderà personalmente sia nel caso di gestione illecita dei dati, cioè quando il suo operato ecceda i limiti fissati dal titolare del trattamento sia nei casi di inadempimento in materia di protezione dati causato dai sub-responsabili del trattamento da lui delegati, tranne nel caso in cui il responsabile del trattamento dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (Regolamento EU art.82, paragrafi 1e 3).

Mi chiamo Benedetta Greco, nel 2013 mi sono laureata in giurisprudenza, presso l'università Federico secondo di Napoli, con tesi sulla definizione di terrorismo in diritto internazionale (di cui vado molto fiera). Ho collaborato come praticante avvocato abilitato per diversi Studi legali e nel 2016 dopo tre anni di gavetta ho superato con successo l'esame di abilitazione alla professione forense. Le mie esperienze professionali si estendono anche al piano della didattica: nel 2014 ho diretto dei moduli riguardanti la “Legislazione commerciale” e “ Legislazione fiscale” nell'ambito di un corso sui “Requisiti professionali per il commercio” nonché un modulo sui “Riferimenti normativi e legislativi in ambito socio sanitario” rientrante nel corso di studi per l’acquisizione dell’attestato di Operatore socio sanitario.