Il Regolamento Europeo 679/2016, il cosiddetto “GDPR”, richiede che siano sempre definiti con chiarezza i ruoli privacy e le responsabilità dei soggetti che, a diverso titolo, intervengo nel processo di trattamento dei dati personali, tra cui, ex art. 4, il titolare del trattamento (che è l’ente, la società o la persona giuridica nel suo complesso) il responsabile del trattamento e gli incaricati.
Il titolare del trattamento ha il dovere, in ragione del principio di responsabilizzazione (accountability), di determinare finalità e mezzi del trattamento dei dati, mettendo a punto un’organizzazione societaria tale da garantire la sicurezza dei dati stessi.
Indice degli argomenti
Ruoli in ambito privacy: che differenza c’è tra responsabile interno ed esterno
In realtà il Regolamento Europeo identifica il responsabile del trattamento esclusivamente quale soggetto esterno all’azienda, escludendo che possa essere alle dipendenze del titolare (si veda “Parere 1/2010 WP29”).
Anche l’art. 29 del Codice Privacy è stato abrogato dal D.l.gs 101/2018.
All’interno dell’ente troveremo pertanto soggetti “incaricati” del trattamento, ovvero dipendenti che, su nomina del titolare del trattamento, sono autorizzati a trattare i dati nell’ambito delle proprie mansioni o compiti assegnati.
Responsabile esterno: rapporti col titolare e caratteristiche
Il responsabile esterno del trattamento dovrà avere una competenza qualificata ed una specifica affidabilità, oltre che risorse tecniche adeguate per l’esecuzione degli obblighi derivanti dal contratto.
L’art. 28 prevede, infatti, che tra titolare e responsabile venga firmato un apposito contratto (il “Data Protection Agreement”) con cui vengono ripartiti compiti e responsabilità.
Ci sono più figure di Responsabile esterno del trattamento?
In realtà sì. Si può individuare un responsabile esterno, laddove tale soggetto risulti tenuto a trattare i dati personali allo stesso affidati dal titolare secondo le precise indicazioni di quest’ultimo e sotto il suo controllo.
Si tratterà diversamente di un titolare autonomo se il trattamento dei dati verrà gestito dal fornitore in piena indipendenza, determinando autonomamente finalità e mezzi del trattamento dei dati ricevuti dal proprio cliente, senza ricevere alcuna istruzione (come nel caso di liberi professionisti, medico del lavoro ecc.).
