di Studio Legale Associato Fioriglio-Croari 13 Marzo 2018, 14:00
Come nel caso del titolare del trattamento, anche la figura del responsabile del trattamento -sotto il profilo delle sue caratteristiche soggettive e delle sue responsabilità- è definito dal GDPR negli stessi termini già previsti dalla Direttiva 95/46/CE e dal Codice Privacy.
In particolare, con il termine “responsabile del trattamento” il GDPR si riferisce alla “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, paragrafo 1, n. 8). Si tratta quindi di quel soggetto che è preposto e al quale viene affidato, da parte del titolare, il trattamento dei dati personali.
Per quanto riguarda i requisiti soggettivi che il responsabile del trattamento deve possedere, il GDPR prevede che si tratti di una figura in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato.
A questo proposito, come specificato dal Considerando 81, le garanzie che il responsabile del trattamento deve essere in grado di fornire si sostanziano in: una conoscenza specialistica della materia, affidabilità e possesso di risorse che permettano di attuare misure tecniche e organizzative in grado di soddisfare tutti i requisiti stabiliti dal Regolamento per il trattamento dei dati personali, anche sotto il profilo della sicurezza.
Il Responsabile del trattamento dovrà quindi avere una competenza qualificata, che potrà essere comprovata da apposita documentazione (rilasciata, ad esempio, in seguito alla frequentazione di corsi qualificati, benché non esistano attualmente particolari abilitazioni o il possesso di specifiche certificazioni). Per quanto riguarda invece il profilo dell’affidabilità, questo requisito dovrà essere fondato su aspetti etico-deontologici, che potrebbero essere dimostrati, ad esempio, con semplici autocertificazioni, anche per escludere eventuali condanne che possano essere rilevanti al riguardo.
A questo proposito, si ricorda che già il Codice della Privacy prevede, all’art. 29, comma 2, che “Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza”.
Non si ravvisano quindi particolari novità nel GDPR, se non per il fatto che il Responsabile deve disporre di sufficienti risorse per mettere in atto le misure tecniche ed organizzative che soddisfino quanto richiesto dal Regolamento. Il Responsabile deve, pertanto, avere a disposizione sufficienti disponibilità sia economiche, sia di personale, e più in generale deve poter disporre di tutti i mezzi necessari allo svolgimento dei compiti affidati dal Titolare. Nel caso in cui il Responsabile del trattamento dei dati sia un soggetto interno all’organizzazione, sarà lo stesso Titolare del trattamento a dover fornire tali risorse; se invece il servizio viene affidato all’esterno, sarà autonomamente il Responsabile nominato a prevedere adeguate risorse per lo svolgimento dell’incarico nel rispetto del GDPR.
Il Responsabile del trattamento dei dati potrebbe, come anticipato, essere tanto una figura interna all’azienda, quanto esterna. A questo proposito, il Garante della Privacy, alla luce della disciplina interna aveva precisato che: “è necessario precisare chi svolgerà l’eventuale ruolo di “responsabile del trattamento”. Conseguentemente, l’Amministrazione deve decidere se prevedere tale figura ed attribuirne la responsabilità o alla struttura esterna cui è affidata l’attività in concessione, oppure ad un dipendente di quest’ultima, o a un proprio ufficio o dipendente dell’Amministrazione stessa (quest’ultima opzione presuppone che l’ufficio o il funzionario pubblico abbiano poteri effettivi di ingerenza sulle attività e sull’organizzazione dell’impresa concessionaria: cosa, in realtà, poco frequente). In concreto, la nomina del responsabile, che deve essere effettuata in forma scritta, potrebbe essere inserita in un apposito articolo della convenzione, oppure essere oggetto di un distinto provvedimento amministrativo o atto di diritto privato”.
In realtà, altri Stati membri hanno sempre individuato questo ruolo come spettante a soggetti esterni rispetto al titolare del trattamento e l’assenza di specificazioni all’interno del GDPR sta dando luogo ad alcune divergenti interpretazioni al riguardo. D’altra parte, in assenza di ulteriori precisazioni, è opportuno ritenere che rimanga valida la facoltà di scelta, come fino ad oggi prevista dal nostro ordinamento.
Il Responsabile del trattamento è obbligato, in forza del contratto stipulato con il titolare, a:
- trattare i dati personali solo sulla base di un’istruzione documentata del titolare del trattamento, anche nel caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale a meno che lo richieda il diritto dell’Unione Europea o nazionale cui è soggetto il responsabile del trattamento. In quest’ultimo caso, il responsabile del trattamento dovrà informare il titolare dell’esistenza di un tale obbligo giuridico prima del trattamento, a meno che ciò sia giuridicamente vietato per rilevanti motivi di interesse pubblico;
- garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- adottare tutte le misure richieste dall’art. 32 GDPR, ovvero le misure tecniche e organizzative necessarie al fine di garantire un livello di sicurezza adeguato al rischio (ad esempio, la pseudomizzazione dei dati o la cifratura)
- rispettare tutte le condizioni previste per l’eventuale nomina di un sub-responsabile;
- assistere il titolare del trattamento con misure tecniche e organizzative adeguate, e tenuto conto della natura del trattamento, al fine di soddisfare l’obbligo di dare seguito alle richieste per l’esercizio dei diritti dell’interessato (quali il diritto di accesso ai dati personali, il diritto di rettifica, il diritto all’oblio, il diritto alla limitazione del trattamento, il diritto alla portabilità dei dati, il diritto di opposizione);
- assistere il titolare del trattamento nel garantire il rispetto degli obblighi in materia di tutela della sicurezza dei dati, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
- cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento (su indicazione del titolare del trattamento), nonché cancellarne le eventuali copie esistenti; e infine
- mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto dei suoi obblighi, nonché contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da lui incaricato. Il responsabile deve, inoltre, informare immediatamente il titolare del trattamento ritenga che un’istruzione violi il Regolamento o altre disposizioni nazionali o di diritto europeo relative alla protezione dei dati.
Anche in capo al Responsabile del trattamento il GDPR pone l’obbligo di tenere il registro dei trattamenti svolti per conto del titolare del trattamento, nel quale vanno riportate dettagliatamente una serie di indicazioni relative ai trattamenti di dati effettuati.
Chi deve nominare il Responsabile del trattamento e quando
Il Responsabile del trattamento è nominato, come previsto dall’art. 28, comma 3 del GDPR, dal Titolare del trattamento attraverso un contratto di nomina (o altro atto giuridico idoneo a norma del diritto dell’Unione Europea o degli Stati membri) che dovrà essere redatto in forma scritta, anche in formato elettronico, e dovrà disciplinare i seguenti elementi:
- oggetto, durata, natura e finalità del trattamento;
- le categorie di soggetti interessati e il tipo di dati personali oggetto del trattamento;
- gli obblighi e i diritti del titolare del trattamento.
Come precisato nel Parere n. 01/2010 del “Gruppo di lavoro ex art. 29”, la nomina di un Responsabile del trattamento dei dati dipende da una decisione presa direttamente dal Titolare del trattamento. Questi può infatti decidere di trattare i dati all’interno della propria organizzazione, oppure delegare tutte o una parte delle attività di trattamento a un soggetto esterno.
Per poter agire come Responsabile del trattamento occorrono quindi due requisiti: da un lato, essere un soggetto distinto dal Titolare del trattamento e, dall’altro lato, la capacità di elaborare i dati personali per conto di quest’ultimo. Questa attività di trattamento può essere limitata a un compito o a un contesto molto specifico, oppure può lasciare al responsabile un certo margine di discrezionalità sul modo di servire gli interessi del Titolare del trattamento, permettendogli, ad esempio, di scegliere autonomamente i mezzi tecnici e organizzativi più adeguati.
Si ricorda, inoltre, che, come previsto per il titolare (sul punto si veda l’articolo dedicato all’argomento) anche il responsabile non stabilito nell’Unione Europea dovrà designare un suo rappresentante all’interno di uno degli Stati membri. L’art. 27, paragrafo 3 del GDPR si applica infatti nel caso in cui il Titolare o il Responsabile del trattamento siano stabiliti in territorio extraeuropeo.
Anche per il responsabile, peraltro, l’individuazione di un rappresentante situato nel territorio europeo viene meno in alcune ipotesi particolari, che non richiedono livelli così elevati di tutela. In particolare, ciò si verifica quando: il trattamento è occasionale, non coinvolge dati “sensibili” (ad esempio dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, biometrici o relativi allo stato di salute o all’orientamento sessuale della persona), o dati personali relativi a condanne penali o a reati consistenti nell’illiceità del trattamento dei dati, ed è improbabile che comporti un rischio per i diritti e le libertà delle persone in considerazione della natura, del contesto, dell’ambito di applicazione e delle finalità del trattamento stesso; oppure quando il titolare del trattamento è un’autorità pubblica o comunque un organismo pubblico.
Se presente, comunque, il rappresentante del Responsabile del trattamento stabilito in un paese extra-europeo dovrà essere stabilito in uno degli Stati membri in cui si trovano i soggetti interessati i cui dati personali sono trattati nel contesto di un’offerta di beni o servizi o il cui comportamento è monitorato.
Per agevolare la comunicazione con i soggetti interessati e con le autorità è poi previsto che il rappresentante possa porsi quale interlocutore nei rapporti con le autorità di controllo nazionali e anche con gli interessati per tutte le questioni relative al trattamento dei dati personali.
Una novità importante rispetto alla disciplina del Codice della Privacy è quella che riguarda la possibilità per il Responsabile di nominare dei sub-responsabili del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare.
A questo proposito, è previsto che il Responsabile del trattamento possa ricorrere ad un altro responsabile solo previa autorizzazione scritta (che può essere, però, sia specifica che generale) del Titolare del trattamento. L’eventuale nomina di uno o più sub-responsabili del trattamento (attraverso un contratto o altro atto giuridico previsto a norma del diritto dell’Unione europea o dei singoli stati membri) dovrà avvenire nel rispetto degli stessi obblighi in materia di protezione dei dati sanciti in capo al Responsabile “primario” del trattamento. In particolare, dovranno essere previste sufficienti garanzie che consentano di attuare le misure tecniche e organizzative più adeguate al fine di soddisfare i requisiti previsti dal Regolamento.
Il Responsabile del trattamento, nel caso in cui vi sia un’autorizzazione scritta generale da parte del titolare, dovrà sempre informare quest’ultimo di eventuali modifiche relative all’aggiunta o alla sostituzione degli eventuali sub-responsabili, dandogli in questo modo l’opportunità di opporsi alle modifiche. Tale comunicazione è importante per lo stesso responsabile che intende nominare altri soggetti, in quanto è sempre il Responsabile “primario” che risponde dinanzi al Titolare dell’eventuale inadempimento del sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, a meno che riesca a dimostrare che l’evento dannoso “non gli è in alcun modo imputabile”.