HOME

/

DIRITTO

/

PRIVACY 2024

/

LA GESTIONE IN OUTSOURCING DEI DATI PERSONALI E LA NOMINA DEL RESPONSABILE

La gestione in outsourcing dei dati personali e la nomina del Responsabile

I Responsabili esterni all’organizzazione del Titolare sono soggetti giuridicamente autonomi che svolgono in regime di outsourcing trattamenti di dati

Ascolta la versione audio dell'articolo

 Il GDPR nel riportare la definizione di “responsabile del trattamento” fa riferimento in via esclusiva al responsabile esterno, per cui nel prosieguo dell’articolo quando si leggerà il termine “Responsabile del trattamento” si intenderà suddetta interpretazione che è la sola consentita dalla lettura del Regolamento (UE) n. 679/2016.

La nomina del Responsabile da parte del Titolare presuppone che quest’ultimo abbia compiuto in precedenza una congrua verifica volta ad accertare la capacità dei Responsabili di porre in essere misure tecniche ed organizzative adeguate, il tutto al fine di soddisfare i requisiti del Regolamento e la tutela dei diritti degli interessati.

Ai sensi del Considerando 81, il Titolare dovrà circoscrivere la scelta nei confronti di quei soggetti “”che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse per mettere in atto  misure tecniche e organizzative”.

Si richiama l’obbligo della firma di un contratto, in capo al Responsabile del trattamento, che dovrà disciplinare almeno i seguenti aspetti: la materia, la durata, le finalità del trattamento; in aggiunta al tipo di dati personali, alla categoria dei soggetti interessati ed agli obblighi ed ai diritti facenti capo al Titolare.

A tale riguardo sempre il Considerando 81 precisa che “l’esecuzione dei trattamenti da parte di un Responsabile del trattamento dovrebbe essere disciplinata da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri che vincoli il Responsabile del trattamento al Titolare del trattamento (omissis).

L'articolo continua dopo la pubblicità

Per aiutarti nell'adempimenti pronto il Software Privacy in divere configurazioni. Trattamenti illimitati a partire da 129 euro + iva

Puo interessarti il Pacchetto contenente tre e-book:  Tutela della Privacy

disponibili anche in vendita singola:

Segui anche il Dossier gratuito dedicato alla Privacy

1) Quando è obbligatorio procedere alla nomina di un Responsabile trattamento dati

Corre l’obbligo in capo al titolare o al responsabile di nominare un Responsabile del trattamento dei dati personali in due ipotesi:

1.  Qualora il titolare affidi uno specifico trattamento a un responsabile;

2. Qualora un responsabile del trattamento affidi a un altro responsabile del trattamento l’esecuzione di specifiche attività di trattamento per conto del titolare.

2) Trattamento in outsourcing dei dati personali

I Responsabili esterni all’organizzazione del Titolare sono soggetti giuridicamente autonomi che svolgono in regime di outsourcing trattamenti di dati la cui Titolarità spetta all'Azienda/Ente.

 Nel trattamento dei dati personali ai quali ha accesso, il Responsabile esterno dovrà attenersi alle istruzioni del Titolare comunicando tempestivamente allo stesso l’insorgere di eventuali problematiche non regolamentate in tema di trattamento di dati personali comuni e/o sensibili e/o giudiziari.

Contestualmente alla nomina di tali soggetti quali Responsabili esterni del trattamento sarà introdotta nel contratto/convenzione una apposita formula di garanzia con la quale il soggetto esterno si impegna ad osservare compiutamente quanto disposto dalla normativa sul trattamento dei dati personali; il soggetto esterno si impegna, altresì, ad informare l’Azienda/Ente sulla puntuale adozione delle misure di sicurezza, in modo da evitare rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Suddetta clausola di garanzia prevede, inoltre, l’impegno del Responsabile esterno a non effettuare operazioni di comunicazione e diffusione dei dati personali sottoposti al trattamento verso soggetti terzi diversi dall’azienda committente, ad attenersi alle decisioni del Garante per la protezione dei dati personali e alle istruzioni che gli verranno impartite, in merito, dal Titolare.

Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy

3) Gli obblighi in capo al responsabile

In particolare, nel suddetto trattamento, dovranno essere osservati i seguenti obblighi:

  • attenersi alle istruzioni impartite dal Titolare e dal Responsabile aziendale del trattamento;
  • richiedere ed utilizzare soltanto i dati necessari per l’adempimento delle obbligazioni contrattuali;
  • adottare tutte le misure delle quali si renda necessaria l’adozione immediata e urgente, al fine di procedere alla tutela dei dati e relazionare in merito al Titolare del trattamento dei dati in oggetto;
  • segnalare tempestivamente al Titolare del trattamento l’opportunità di adozione delle misure di non immediata applicazione;
  • attenersi ad un generale dovere di non divulgazione dei dati trattati o di cui sia venuto a conoscenza tramite altre fonti e al rispetto del Regolamento 2016/679 (UE);
  • individuare e nominare per iscritto gli incaricati del trattamento (anche se tale adempimento non è espressamente previsto dal Regolamento, si ritiene che lo stesso rivesta ancor auna sua importanza per cui tale procedura andrebbe svolta, almeno sino ad un pronunciamento da parte del Garante italiano) specificando a quale tipologia di riferimento l’addetto è assegnato ( ad es: manutenzione hardware e/o software, fino a scendere nel dettaglio, ad es: addetti a manutenzione di applicativi di base, addetti a manutenzione di applicativi speciali, addetti alla manutenzione dell’hardware periferico, addetti alla manutenzione dell’hardware centrale, addetti alla manutenzione degli apparati facsimile, dei telefoni e da altri apparati di telecomunicazione; addetti al monitoraggio di rete; ecc.);
  • adottare le misure di sicurezza e vigilare sul loro rispetto da parte degli incaricati, segnalando al Titolare del trattamento eventuali reclami da parte degli interessati, informando il Titolare del trattamento di qualunque fatto che possa compromettere la sicurezza dei dati trattati;
  • adottare tutti i provvedimenti necessari ad evitare la perdita o la distruzione  dei dati e provvedere al recupero periodico degli stessi con copie di backup, assicurandosi della qualità delle stesse copie; ove il Responsabile in outsourcing fosse autorizzato, come da contratto, a tale trattamento dei dati:
  • comunicare al Titolare con periodicità annuale l’elenco  dei soggetti nominati incaricati  al trattamento dei dati personali;
  • collaborare con il Titolare del trattamento al fine di dare riscontro alle eventuali richieste avanzate dal Garante della privacy o da altra Autorità pubblica o dagli interessati del trattamento per l’esercizio dei loro diritti stabiliti dal Regolamento;
  • verificare che i flussi di dati personali all’interno della Società e le comunicazioni di dati verso terzi avvengano con procedure atte a rispettare la confidenzialità e la riservatezza dei soggetti coinvolti;
  • comunicare immediatamente al Titolare del trattamento gli eventuali nuovi trattamenti da intraprendere nel Suo settore di competenza, provvedendo alle necessarie formalità di legge;
  • al termine del rapporto contrattuale, cancellare dalle Vostre banche dati o da altri supporti informatici, i dati personali trattati laddove la loro conservazione non sia più necessaria;
  • rispettare gli altri obblighi stabiliti dal Regolamento;
  • rispettare le istruzioni allegate alla  lettera di nomina che rappresentano il mansionario a cui attenersi e a cui fare attenere il personale nominato incaricato;
  • inviare un rapporto semestrale al Titolare in merito al rispetto e all’adempimento del presente mansionario e di tutto ciò che è disciplinato dalla normativa di riferimento ed attiene alla Ditta stessa;
  • svolgere attività di supporto riferita, in particolare, al salvataggio giornaliero/periodico dei dati applicativi dei server nei quali risiedono i software oggetto di assistenza da parte del Responsabile in outsourcing, come da contratto, ed eventuali ripristini.

4) Profili sanzionatori

Il Titolare e il Responsabile che violano le prescrizioni di cui all’articolo 28 sono soggetti a sanzioni amministrative pecuniarie fino a 10 milioni di euro e se è una impresa fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. (art. 83, par. 4, lett. a)

Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy

La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

LA RUBRICA DEL LAVORO · 29/10/2024 Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Controllo mail dipendenti: nuove sanzioni dal Garante

Ancora una sanzione significativa dal Garante per la privacy per utilizzo di un software di controllo e back up delle mail dei dipendenti

Cybersicurezza: Direttiva UE 2022/2557 CER e decreto attuativo

Cos'è la direttiva UE 2022/2557 CER (Critical entities resilience) per la sicurezza fisica e cibernetica dell'Unione europea da attuare entro il 18 ottobre. Il decreto attuativo

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2024 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.