Accanto alla figura del Titolare del trattamento (cioè “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”, art. 4 punto 7 GDPR), viene posta quella del Responsabile del trattamento.
Il Responsabile del trattamento (data processor) è definito dal GDPR come “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4 punto 8).
Il nuovo Regolamento da a questa figura una rilevanza rispetto al passato, in quanto il responsabile assume una connotazione quasi professionale.
Difatti, l’art. 28 del GDPR (che definisce proprio la figura del Responsabile del Trattamento), prevede che “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell'interessato”.
Quindi la scelta di questa figura non è casuale, ma è necessario individuare una persona fisica o giuridica che possieda già determinate competenze.
Il Responsabile deve essere in grado di fornire idonee garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato.
Dovrà, quindi, avere una conoscenza specialistica della materia, per permettergli di attuare le misure tecniche e organizzative in grado di soddisfare i requisiti stabiliti dal regolamento europeo. Inoltre dovrà garantire una particolare affidabilità.
Rapporto tra titolare e responsabile del trattamento
Il Regolamento, all’art.28 dopo aver stabilito che “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”, sancisce che “i trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.
Inoltre, il contratto deve prevedere, in particolare, che il responsabile del trattamento:
- tratti i dati personali soltanto su istruzione documentata del titolare del trattamento.
- garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
- adotti tutte le misure richieste ai sensi dell’articolo 32 (sicurezza del trattamento).
- rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento.
- tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell'interessato di cui al capo III.
- assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento.
- su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati.
- metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.
Da ciò si deduce che, l’accordo tra il titolare e il responsabile del trattamento deve avere un fondamento giuridico, dovendo essere oggetto di contratto o altro atto giuridico, nel quale vengano inseriti tutti quegli obblighi previsti in capo al responsabile e dal quale si evince che lo stesso dipende direttamente dal titolare. Tanto è vero che “il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento”.
Inoltre, può impiegare soltanto personale che si sia impegnato alla riservatezza e principalmente viene considerato anch’esso titolare del trattamento qualora tratti dati personali diversamente da quanto indicato nelle istruzioni dal titolare del trattamento.
Ciò si deduce dall’art. 26 del Regolamento che parla di “contitolari del trattamento”, allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento dei dati personali.
“Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti”.
LEGGI ANCHE: GDPR in sintesi
Responsabile del trattamento dati: altri obblighi
Da quanto detto si capisce che, il responsabile del trattamento collabora concretamente con il titolare per la creazione di quelle condizioni tecniche e organizzative necessarie per l’adempimento degli obblighi previsti nel regolamento a tutela dei dati personali degli interessati.
Proprio per questo, nel Regolamento viene specificato che il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento.
Inoltre, il Regolamento pone a carico del responsabile, così come fa per il titolare del trattamento, l’obbligo di conservazione della documentazione di tutti i trattamenti effettuati sotto la propria responsabilità (proprio per garantire quel principio di accountability, che è alla base di tutta la normativa).
Sub-responsabile del trattamento dati nel GDPR
L’art. 28 del GDPR prevede che “il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche”.
E chiarisce che “quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell'adempimento degli obblighi dell’altro responsabile”.
LEGGI ANCHE: Il GDPR, solamente un costo per le aziende o vera utilità?
Ultimi interventi normativi
Per completare i quadro bisogna tener conto delle ultime disposizioni introdotte dalla legge europea n. 167 del 20 novembre 2017, che hanno modificato o integrato le norme del Codice in materia di protezione dei dati personali.
In particolare l’art. 28 della legge ha introdotto il comma 4-bis all’art. 29 del Codice in materia di protezione dei dati personali andando ad aggiungere al “responsabile interno” del trattamento disciplinato dai primi 4 commi, anche la figura del “responsabile esterno” così come disciplinata dall’art. 28 del regolamento europeo n. 2016/679 (GDPR).
Viene, infatti, prevista la possibilità per il titolare del trattamento, di avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualità di responsabili del trattamento, forniscano le garanzie di cui al comma 2.
Anche in questi casi, i titolari stipulano con i predetti responsabili atti giuridici in forma scritta (quindi la base giuridica è sempre un contratto), nel quel vengono specificate le finalità perseguite, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento.
Per la predisponine di questi atti, ci si avvale degli schemi tipo predisposti dal Garante.
Seppur questa precisazione era doverosa, bisogna anche ricordare che l’attuale schema di decreto legislativo di adeguamento al GDPR in discussione in Parlamento, prevede l’abrogazione dell’art. 29 del Codice, nonché la possibilità di introdurre delle figure interne all’organizzazione di riferimento, che siano autorizzate dal titolare al trattamento e che, nell’ambito del modello organizzativo predisposto dallo stesso titolare, possano assumere anche un maggior rilievo (per cui ritornerebbe la figura del responsabile interno).
