PARTE DA COMPILARE CON I DATI DEL RESPONSABILE DELLA PROTEZIONE DEI DATI
Il responsabile del trattamento (in inglese data processor) nel nuovo regolamento europeo è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento (art. 4, par. 1, n. 8 GDPR).
Secondo l'EDPB (Linee Guida sul concetto di titolare e responsabile del trattamento, 2020), due sono le condizioni per qualificare un soggetto come responsabile:
- deve essere un soggetto distinto dal titolare;
- deve elaborare dati per conto del titolare.
Il ruolo del responsabile va definito in relazione al contesto, e se il servizio fornito non è specificamente finalizzato al trattamento di dati personali o qualora il trattamento non costituisca un elemento chiave del servizio, il fornitore di servizi potrebbe essere un titolare autonomo del trattamento (es. la piattaforma per garantire gli spostamenti sul territorio dei propri dipendenti). Ulteriormente, se il processor combina dati del titolare con dati propri va oltre il mandato e diventa titolare.
Il titolare del trattamento risponde della gestione effettuata dai responsabili, dovendo ricorrere per tale ruolo a soggetti che presentino garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto le misure tecniche e organizzative che soddisfino i requisiti del Regolamento (Considerando 81 GDPR), e che le sue decisioni siano conformi alle leggi. Compito specifico del titolare è, infatti, quello di valutare il rischio del trattamento che pone in essere tramite i responsabili. Il titolare deve sempre poter sindacare le decisioni dei responsabili. In tal senso il responsabile deve essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell'interessato.
Il responsabile del trattamento dovrà avere innanzitutto una competenza qualificata (ad esempio, frequentazione di corsi di aggiornamento), e garantire una particolare affidabilità, un requisito fondato su aspetti etici e deontologici (ad esempio, l'assenza di condanne penali). Ovviamente dovrà disporre delle risorse tecniche adeguate per l'attuazione degli obblighi derivanti dal contratto di designazione e dalle norme in materia.
Responsabile interno od esterno?
Il ruolo del responsabile del trattamento di cui al regolamento europeo è chiaramente riservato ad un soggetto esterno all'azienda, con riferimento ai fornitori di servizi. Infatti, vi è uno specifico obbligo di predisporre un contratto per la designazione delle responsabilità a carico del responsabile. A livello europeo, inoltre, si è da sempre affermata l'idea che il responsabile del trattamento non possa essere un soggetto alle dipendenze del titolare. Sia l'ICO britannico che il CNIL francese, infatti, richiamano espressamente il parere (1/2010) del Gruppo articolo 29 per evidenziare come il responsabile sia solo un soggetto esterno all'azienda.
In particolare il WP29 ricorda che il titolare del trattamento può decidere di trattare i dati all'interno della propria azienda oppure delegare in tutto o in parte le attività di trattamento dati ad un soggetto esterno. Quindi per agire come responsabile del trattamento occorre essere una persona giuridica distinta dal titolare e elaborare dati per conto di questi. L'EDPB con le Linne guida del 2020 ha ricordato che le risorse coinvolte nel trattamento ed appartenenti all’organizzazione del titolare coincidono con il titolare stesso, o comunque potranno essere definite quali persone autorizzate o designate.
In conclusione, il responsabile del trattamento è esterno all'azienda. Tratta i dati attenendosi alle istruzioni del titolare, assume responsabilità proprie e ne risponde alle autorità di controllo e alla magistratura. Il titolare del trattamento, ovviamente, può distribuire incarichi interni (es. responsabile dell'area legale, dell'area marketing, ecc...), ma la responsabilità rimane sua.
Nel caso di gruppi di imprese, un’impresa può agire in qualità di responsabile del trattamento per un’altra impresa. Per quanto riguarda i professionisti iscritti ad albi o comunque le ipotesi in cui il fornitore esterno ha ampia autonomia e si autorganizza (commercialista, avvocato, medico del lavoro Legge 81/2008, consulente del lavoro, azienda per il DVR -documento valutazione rischi-), questo porta a configurare più correttamente il soggetto come titolare autonomo piuttosto che responsabile, appunto perchè non riceve istruzioni specifiche sul trattamento da parte del titolare.