Anche questo mese continuiamo l’approfondimento in merito alle novità introdotte dal GDPR, il Regolamento Generale sulla Protezione dei Dati promulgato dall’Unione Europea lo scorso maggio, che implica importanti cambiamenti in azienda. L’Avvocato Stefania Perillo affronta in questo caso gli aspetti legati al ruolo del responsabile del trattamento dei dati personali, una figura cruciale a cui il GDPR dedica un intero articolo.
Vi ricordiamo che se avete curiosità, dubbi o domande in merito agli argomenti trattati dall’Avv.Perillo, potete inviare una mail a manutenzione@manutenzione-online.com. Buona lettura!
Alessandro Ariu
Chi è responsabile del trattamento dei dati personali in azienda?
Abbiamo già avuto modo di chiarire nei precedenti articoli, come la responsabilità unica ed indiscutibile sul corretto trattamento dei dati personali delle persone fisiche, sia del Titolare dell’azienda.
Tuttavia, spesso è necessario avere delle competenze specifiche che il Titolare non ha e per questo alcune attività vengano demandate a terzi. Si pensi al Commercialista, piuttosto che al Consulente del Lavoro o altri collaboratori esterni.
In relazione a detta tematica, il Regolamento Europeo UE/2016/679, cosiddetto GDPR, consente al titolare di designare un terzo, denominato “Responsabile Esterno del Trattamento” cui delegare e affidare alcune mansioni specifiche e spesso di elevata professionalità, che implicano necessariamente anche il trattamento di dati personali di persone fisiche.
In genere il Responsabile Esterno del Trattamento dei dati personali non opera direttamente sotto la responsabilità del Titolare dell’azienda, ma lavora in autonomia.
Cosa specifica in merito il GDPR?
Il GDPR dedica un intero articolo a detta figura, prevedendo all’articolo 28 come il titolare del trattamento, qualora necessario, debba ricorrere unicamente a Responsabili del Trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti del regolamento stesso così da garantire la tutela dei diritti dell’interessato.
Pertanto, il Responsabile Esterno del Trattamento dei dati personali deve disporre dei requisiti di conoscenza, abilità e competenza, tali da poter sostituire in toto il Titolare del Trattamento.
È per questo motivo che il regolamento, in caso di violazione circa il trattamento dei dati personali, prevede una responsabilità solidale di entrambe le figure.
Come viene regolamentato il rapporto tra le due figure?
Per regolamentare il rapporto tra le due figure, e cioè quella del Titolare e del Responsabile esterno, è necessario stilare un contratto o altro atto giuridico, all’interno del quale vengano regolate in modo specifico, le condizioni, le finalità dell’incarico, il tipo di dati personali trattati, le categorie di interessati, i diritti del Titolare del Trattamento e le responsabilità del nominato Responsabile Esterno del Trattamento.
È infine importante disciplinare nel predetto contratto, la facoltà del Titolare del Trattamento di chiedere al nominato Responsabile che vangano cancellati o comunque gli vengano restituiti dopo il termine dell’incarico conferito, tutti i dati personali trattati.
Il Responsabile deve inoltre mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi imposti dal regolamento.
Infine, quando un responsabile del trattamento ricorra ad un altro Responsabile del Trattamento, su tale altro Responsabile del Trattamento dovranno essere imposti, mediante un altro contratto o atto giuridico, gli stessi obblighi in materia di protezione dei dati, contenuti nel primo contratto tra il Titolare del Trattamento e il Responsabile del Trattamento.
Cosa succede in caso di inadempienza di una delle due figure?
Qualora l’altro Responsabile del Trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del Titolare del Trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.
Chiaro come, per garantire che siano rispettate le condizioni del regolamento, il titolare del trattamento dovrà ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse.
Avv. Stefania Perillo, Business Lawyer, Studio Legale Perillo
