Il GDPR nel riportare la definizione di “responsabile del trattamento” fa riferimento in via esclusiva al responsabile esterno, per cui nel prosieguo dell’articolo quando si leggerà il termine “Responsabile del trattamento” si intenderà suddetta interpretazione che è la sola consentita dalla lettura del Regolamento (UE) n. 679/2016.
La nomina del Responsabile da parte del Titolare presuppone che quest’ultimo abbia compiuto in precedenza una congrua verifica volta ad accertare la capacità dei Responsabili di porre in essere misure tecniche ed organizzative adeguate, il tutto al fine di soddisfare i requisiti del Regolamento e la tutela dei diritti degli interessati.
Ai sensi del Considerando 81, il Titolare dovrà circoscrivere la scelta nei confronti di quei soggetti “”che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse per mettere in atto misure tecniche e organizzative”.
Si richiama l’obbligo della firma di un contratto, in capo al Responsabile del trattamento, che dovrà disciplinare almeno i seguenti aspetti: la materia, la durata, le finalità del trattamento; in aggiunta al tipo di dati personali, alla categoria dei soggetti interessati ed agli obblighi ed ai diritti facenti capo al Titolare.
A tale riguardo sempre il Considerando 81 precisa che “l’esecuzione dei trattamenti da parte di un Responsabile del trattamento dovrebbe essere disciplinata da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri che vincoli il Responsabile del trattamento al Titolare del trattamento (omissis).
L'articolo continua dopo la pubblicità
Per aiutarti nell'adempimenti pronto il Software Privacy in divere configurazioni. Trattamenti illimitati a partire da 129 euro + iva
Puo interessarti il Pacchetto contenente tre e-book: Tutela della Privacy
disponibili anche in vendita singola:
Segui anche il Dossier gratuito dedicato alla Privacy
Corre l’obbligo in capo al titolare o al responsabile di nominare un Responsabile del trattamento dei dati personali in due ipotesi:
1. Qualora il titolare affidi uno specifico trattamento a un responsabile;
2. Qualora un responsabile del trattamento affidi a un altro responsabile del trattamento l’esecuzione di specifiche attività di trattamento per conto del titolare.
I Responsabili esterni all’organizzazione del Titolare sono soggetti giuridicamente autonomi che svolgono in regime di outsourcing trattamenti di dati la cui Titolarità spetta all'Azienda/Ente.
Nel trattamento dei dati personali ai quali ha accesso, il Responsabile esterno dovrà attenersi alle istruzioni del Titolare comunicando tempestivamente allo stesso l’insorgere di eventuali problematiche non regolamentate in tema di trattamento di dati personali comuni e/o sensibili e/o giudiziari.
Contestualmente alla nomina di tali soggetti quali Responsabili esterni del trattamento sarà introdotta nel contratto/convenzione una apposita formula di garanzia con la quale il soggetto esterno si impegna ad osservare compiutamente quanto disposto dalla normativa sul trattamento dei dati personali; il soggetto esterno si impegna, altresì, ad informare l’Azienda/Ente sulla puntuale adozione delle misure di sicurezza, in modo da evitare rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Suddetta clausola di garanzia prevede, inoltre, l’impegno del Responsabile esterno a non effettuare operazioni di comunicazione e diffusione dei dati personali sottoposti al trattamento verso soggetti terzi diversi dall’azienda committente, ad attenersi alle decisioni del Garante per la protezione dei dati personali e alle istruzioni che gli verranno impartite, in merito, dal Titolare.
In particolare, nel suddetto trattamento, dovranno essere osservati i seguenti obblighi:
Il Titolare e il Responsabile che violano le prescrizioni di cui all’articolo 28 sono soggetti a sanzioni amministrative pecuniarie fino a 10 milioni di euro e se è una impresa fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. (art. 83, par. 4, lett. a)