DOMANDA
Per la manutenzione del sistema informativo della mia azienda mi rivolgo sempre ad un tecnico esterno. In una situazione del genere, bisogna nominarlo responsabile del trattamento?
G.T.
RISPOSTA
Premesso che per configurarsi un responsabile del trattamento ai sensi dell’art. 28 del GDPR ci deve essere la chiara volontà del titolare a delegare tutta o una parte delle attività di trattamento a un soggetto esterno che elabora i dati per conto di quest’ultimo, la domanda da porsi è: a qualcuno che fa solo manutenzione dei sistemi informativi sto delegando un trattamento?
Purtroppo non può esserci una risposta secca (SI o NO) che vada bene sempre e comunque. Se il titolare fa fare ad un soggetto esterno solo manutenzione del sistema informativo quasi sicuramente non è nella sua intenzione delegare alcun trattamento; ma se, al tempo stesso, il manutentore accede ai dati per fare le sue attività di manutenzione, allora quanto meno sta effettuando una consultazione, che è a tutti gli effetti un trattamento.
Si pensi all’ipotesi di patching o di test a seguito di upgrade di un sistema che viene effettuata direttamente in produzione, quindi su dati (personali) reali.
Il problema poi sta nel fatto che, nel caso in cui il tecnico debba essere nominato responsabile, il titolare dovrà preoccuparsi che abbia le competenze organizzative e giuridiche necessarie ad assicurare la rispondenza dei trattamenti al GDPR.
Mandate i vostri quesiti ai nostri esperti
Quesiti legal: espertolegal@cybersecurity360.it
Quesiti tecnologici: espertotech@cybersecurity360.it
