GDPR Esempi Trattamento dati

GDPR: Esempi e quesiti per gestire e designare il Responsabile al trattamento dei dati

2 marzo 2020

di Marco CASSARO

LA CORRETTA GESTIONE E DESIGNAZIONE DEL RESPONSABILE AL TRATTAMENTO DEI DATI EX ART. 28 DEL GDPR

Individuare il corretto rapporto tra le parti dal punto di vista della tutela e protezione dei dati e adempiere alle disposizioni previste in materia, soprattutto quando ci troviamo di fronte ad un rapporto Titolare del trattamento/Responsabile al trattamento dei dati, è fondamentale.

Troppo spesso Titolari del trattamento, Responsabili al trattamento dei dati e Responsabili della Protezione dei dati (RPD o DPO) si trovano di fronte ad accordi posticci e male confezionati che oltre a non contenere gli elementi minimi previsti ex lege hanno come comune denominatore quello di stravolgere quanto previsto dal legislatore al solo fine di ottemperare senza alcuno scopo sostanziale ma solo formale a relativo dettato normativo.

Ricordando come nella tutela e protezione del dato “copiare non giova” ecco gli elementi chiave nonché le best practice da seguire per una corretta individuazione e gestione del Responsabile al trattamento dei dati.

L’IMPIANTO NORMATIVO DI RIFERIMENTO

Il Regolamento Ue 679/2016 cd. GDPR(1) ha introdotto con l’art. 28 una serie di adempimenti formali e sostanziali che il Titolare del trattamento deve porre in essere al fine di gestire correttamente il rapporto con qualsiasi Responsabile al trattamento di cui si avvale.

A tal proposito si riporta in via preliminare quando definito dall’art. 4 n. 8) del GDPR secondo il quale il Responsabile al trattamento dei dati è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Tale definizione che non muta rispetto a quella della Direttiva 95/46/CE ma si discosta da quella del Codice privacy non novellato e che certamente e con riferimento all’art. 28 del GDPR introduce una disciplina sostanziale molto più ampia e particolare in relazione alle modalità di analisi e designazione del soggetto medesimo, ci permette di distinguere tale figura rispetto a quella del Titolare del trattamento; titolare che a norma dell’art. 4 n.7) del GDPR viene definito come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.

  1. Essere dunque soggetto distinto dal Titolare del trattamento e,
  2. trattare dati per conto di quest’ultimo

sono certamente i due elementi cardine per distinguere l’uno dall’altro (oltre inevitabilmente a chi decide finalità e mezzi del trattamento).

Inoltre, e cercando di fornire degli spunti normativi utili da prendere in considerazione per tutte le analisi del caso, si ricordano le Linee Guida del WP ex art 29 n. 1/2010(2).

RESPONSABILE AL TRATTAMENTO DEI DATI INTERNO SI O NO?

Da questo punto di vista meritevole di menzione è certamente il superamento della teoria del Responsabile al trattamento dei dati quale soggetto interno.

Troppo spesso sull’erronea convinzione del passato le Società si dotano di Responsabili al trattamento ex art. 28 del GDPRinterni” senza minimamente tenere conto come tale figura se incardinata nella propria struttura aziendale, a seguito delle novità normative, per molti versi ne sarebbe incompatibile.

Infatti, se si legge l’art. 28 in concomitanza con l’art. 29 del GDPR lo stesso parrebbe distinguere i soggetti dipendenti della Società a figure quali il Titolare e/o il Responsabile al trattamento dei dati, e inoltre e in modo ancora più significativo, gli obblighi che la normativa impone a soggetti designati ed inquadrati ex art. 28 (come ad esempio la tenuta di un proprio registro o la nomina a sua volta da parte del Responsabile al trattamento di un DPO o ancora le sanzioni ex art. 82 e ss. del GDPR) mal si coniugano con soggetti designati internamente.

A ciò vale la pena aggiungere che anche nel caso in cui fossero rimasti dei dubbi sulla configurabilità di un responsabile interno, si ricorda che l’art. 2 quaterdecies del D.Lgs 101/2018(3) ha espressamente introdotto la possibilità di attribuire funzioni e compiti a soggetti interni designati andando ad assorbire di fatto quella figura del Responsabile interno che la vecchia normativa prevedeva (chiamiamoli “Delegati Privacy” o “Rappresentante legale privacy” o “Designato Privacy” ma non Responsabile al trattamento dei dati).

Pertanto, è fondamentale:

  • dotarsi di una struttura organizzativa interna ed esterna che tenga conto di tali criteri di valutazione e soprattutto nella definizione del Modello Organizzativo Privacy:
    ►   non confondere il Responsabile al trattamento dei dati ex art. 28 con il Responsabile della Protezione dei dati (cd. RPD o DPO) ex art. 37 ess. del GDPR (il Responsabile al trattamento dei dati tratta dati per conto del Titolare, il Responsabile della protezione dei dati viene designato dal Titolare o anche dal Responsabile al trattamento dei dati in tutti i casi previsti da normativa come presidio per la sorveglianza dell’osservanza del GDPR e per lo svolgimento dei compiti attribuiti ex art. 39 del GDPR e secondo le specifiche linee guida in materia(4));
    ►   evitare di nominare i soggetti autorizzati al trattamento (i.e. i dipendenti dell’Azienda) come Responsabili al trattamento dei dati per le ragioni ut supra esposte;
  • ricordare che l’istituzione di un Responsabile al trattamento dei dati segue le regole dell’art. 28 del GDPR con relativi oneri e sanzioni.

ALCUNE IPOTESI DI RAPPORTO TITOLARE-RESPONSABILE

Come si è fin qui letto l’errore è dietro l’angolo ed inquadrare tutti i soggetti all’interno di una struttura organizzativa privacy interna ed esterna in modo corretto non è così agevole. Difficoltà vi sono soprattutto in relazione alla qualificazione dei vari soggetti che operano nel trattamento e in particolare andare a stabilire quando il rapporto tra due soggetti esterni è qualificabile nel binomio titolare-responsabile.

A tal proposito si riportano alcuni casi consolidati. Si configura come responsabile al trattamento dei dati, nella fornitura di servizi al titolare del trattamento:

  • il fornitore di servizi di posta elettronica
  • il fornitore di servizi di tele-vigilanza;
  • il fornitore di servizi di localizzazione geografica;
  • il fornitore di servizi per la gestione ed elaborazione di paghe e contributi;
  • il consulente del lavoro che tratta, nell’ambito di un incarico ricevuto da un’ipotetica Società Alfa o Imprenditore Beta, i dati dei dipendenti ricevuti da quest’ultimo.   Si configurerebbe, invece, come titolare autonomo al trattamento dei dati il consulente del lavoro che tratta i dati dei propri dipendenti o dei propri clienti persone fisiche con autonomia decisionale in relazione alle finalità e ai mezzi propri della sua attività.

Di particolare interesse è poi il caso controverso in relazione alla posizione dell’Organismo di Vigilanza. Da questo punto di vista gli orientamenti sono molteplici e sicuramente non vicini ad una soluzione univoca e condivisa.

  • Parte delle dottrina ritiene l’OdV quale titolare autonomo, in considerazione degli autonomi poteri di iniziativa e controllo che gli vengono attribuiti da normativa 231/2001(5) (orientamento probabilmente non condivisibile in quanto non si deve confondere il requisito necessario per assolvere correttamente le funzioni attribuite da legge con le attività eventuali di trattamento del dato che si rendono necessarie per espletare tali compiti),
  • altra parte della dottrina ritiene l’OdV assimilabile alla figura del Responsabile al trattamento dei dati con tutte le implicazione che tale designazione comporta,
  • da ultimo, tesi alternative vogliono l’OdV come organo interno della struttura aziendale e quindi come tale non dovrebbe considerarsi né titolare né responsabile procedendo ad una nomina dei suoi membri quali autorizzati al trattamento ex art. 29 del GDPR e 2 quaterdecies del D.Lgs 101/2018.

 

Intervento del Dott. Marco CASSARO,  Senior / Advisory Risk & Compliance  –  BDO Italia S.p.A.

 

LEGGI QUI l’articolo successivo  2/2,   GDPR: La nomina del Responsabile al trattamento dei dati a prova di sanzioni


Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1)   Regolamento (UE) 2016/679 – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – GDPR

(2)   Linee Guida del WP ex art 29 n. 1/2010 – Parere sui concetti di Responsabile del Trattamento

(3)   D.Lgs. 101/2018

(4)   Per tutte le informazioni relative al Responsabile della protezione dei dati (RPD o DPO), per le linee guida in materia e per le FAQ di riferimento si veda sul sito dell’Autorità Garante Nazionale

(5)   D.Lgs. 231/2001

 



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *