Lungo il percorso di adeguamento alla conformità alla normativa del Regolamento europeo per la tutela dei dati personali (GDPR) e al Decreto Legislativo 101/2018, la nomina dei responsabili esterni del trattamento dati è sicuramente uno degli adempimenti più complessi e articolati, ma al tempo stesso molto importante soprattutto per liberi professionisti, artigiani, studi professionali, attività e PMI.
Indice degli argomenti
Nomina dei responsabili esterni del trattamento dati, post GDPR
L’articolo 28 del GDPR prevede che qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorra unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.
È un adempimento estremamente importante e delicato che purtroppo spesso è sottovalutato o addirittura omesso.
Bisogna avere ben presente che qualsiasi lavoro una persona faccia, e dico e sottolineo qualsiasi, è titolare del trattamento dei dati che gli servono per lavorare.
Non esiste al mondo alcuna professione che non effettui un trattamento dei dati personali: fosse anche la presenza di un solo fornitore o di un collaboratore o di un cliente, c’è sempre un trattamento dei dati. Da ciò ne discende, ipso iure, che il titolare del trattamento è il responsabile della tutela dei dati personali e del loro trattamento in conformità alla normativa.
Il mondo del lavoro è per sua natura intersecato, connesso, interscambiabile, ramificato, inserito in molti contesti: perciò, inevitabilmente, i dati in possesso del titolare del trattamento vengono comunicati a più soggetti esterni, sia in forza di precise imposizioni di legge e sia per meri motivi tecnico-organizzativi.
Gli esempi sono sotto gli occhi di tutti: si va dal consulente del lavoro al commercialista, dal legale alla società di recupero crediti, dal medico del lavoro alla società che cura l’adeguamento al D.L. 81/08, dalle assicurazioni al consulente privacy, dalle banche ai consulenti della qualità eccetera.
Ogni soggetto esterno al titolare del trattamento deve essere ben definito ed inquadrato nell’impianto privacy, meglio se all’interno del registro dei trattamenti anche se in forma semplificata. Per il GDPR non esistono realtà “fantasma”, ma ogni casella deve essere identificata e messa al suo posto.
In quanto titolare del trattamento dei dati, esso è obbligato a nominare con un’apposita e ben redatta lettera ogni soggetto esterno come responsabile esterno del trattamento, come amministratore di sistema (quando ne ricopra il ruolo) e come autonomo titolare del trattamento (quando ne sussistano i requisiti o come subordine nel caso di mancata accettazione della nomina a responsabile).
Vediamo di ben definire queste tre differenti prospettive.
I responsabili esterni del trattamento dati
Questa è la figura tipica del commercialista, ad esempio. Esso tratta i dati che sono comunicati dal titolare del trattamento, per conto di quest’ultimo che non ha il tempo o le competenze o entrambi per poterlo effettuare da sé.
Da ciò ne deriva che è il titolare del trattamento che deve vigilare e controllare periodicamente che il commercialista tratti i propri dati in conformità alla normativa.
Non solo è un diritto di chiedere spiegazioni e di sapere quali tutele esso mette in campo per proteggere i dati, ma è un preciso dovere. Il responsabile del trattamento è tenuto a dimostrare la propria conformità alla normativa prevista dal GDPR e dal Decreto Legislativo 101/2018, perché le norme impediscono ad un titolare del trattamento di far trattare i propri dati a chiunque non sia in grado di dimostrare la sua conformità alla norma.
Deve essere un concetto, una forma mentis ben chiara, non soggetta a fraintendimenti: il titolare del trattamento è cliente del fornitore esterno, certo, ma ne è il supervisore per quanto riguarda i propri dati.
Nelle situazioni più articolate e complesse, sono previsti dei veri e propri audit da parte dei titolari nei confronti dei responsabili i quali, inoltre, non possono esternalizzare dati del titolare senza informarlo e senza aver adottato i controlli previsti.
C’è una gerarchia, un subordine che, piaccia o non piaccia, il responsabile esterno deve accettare con un’apposita lettera di nomina.
Non provvedere a queste nomine, commercialista, avvocato, medico del lavoro ecc., porta a gravissime conseguenze sia in caso di controlli, ma ancora peggio in caso di cause e controversie, in quanto può far profilare l’illecito trattamento dei dati, con le conseguenze economiche e penali del caso.
La figura dell’amministratore di sistema
Questo è il tipico caso del professionista o della software house che interagisce con il titolare del trattamento per i problemi informatici.
Nelle piccole realtà, spesso, fornisce un gestionale e ne fa la manutenzione, risolve i problemi generali nei quali incorre il titolare, gestisce le caselle di posta elettronica, si collega in modalità in remoto, insomma è un consulente molto “invasivo” della realtà aziendale.
Deve essere nominato con apposita lettera e rispondere come e più del responsabile esterno ai requisiti imposti dalla normativa ed essere monitorato costantemente dal titolare del trattamento, proprio per la delicatezza del ruolo lavorativo.
L’era dell’improvvisazione è definitivamente tramontata: o l’amministratore di sistema ha un assetto tecnico-organizzativo tale per cui può fornire garanzie di sicurezza nella gestione dei dati oppure non lo posso mettere a contratto.
Aggiungo, perché spesso me lo sento domandare, che nel caso in cui una software house sia meramente una fornitrice di gestionale ed intervenga solo per aggiustamenti tecnici su quello, allora la si può configurare come responsabile esterno e non amministratore di sistema.
L’autonomo titolare del trattamento
Qui ci troviamo di fronte ad un modo, previsto espressamente dalla normativa, per far sì, come detto in precedenza che non ci siano realtà “fantasma”.
Risulta evidente ad ognuno che spesso banche, assicurazioni, Dropbox, servizi in cloud vari, non potranno mai firmare una lettera di nomina a responsabile esterno del trattamento, né ci sarebbe la possibilità da parte del titolare di condurre audit di controllo all’adeguamento alla normativa.
Di fronte a queste realtà inserisco i dati del fornitore come autonomo titolare del trattamento, nell’impianto privacy, meglio ancora nel registro dei trattamenti.
Esistono altri due casi nei quali posso risolvere nel solco della legge due problematiche legate a questa figura.
La prima è quando un collaboratore esterno ha il potere di cambiare sostanzialmente il trattamento dei dati del titolare, specialmente nel loro percorso di diffusione e comunicazione. Può essere per statuto, per legge, per modus operandi.
Alle volte il consulente del lavoro è più inquadrabile così che non come responsabile esterno, perché ha autonomia nei confronti del titolare nella gestione dei cedolini paga, nel collocamento dei cassetti previdenziali.
Insomma, quando sussiste autonomia di modifiche sostanziali, occorre comunicare di aver inquadrato il soggetto come autonomo titolare del trattamento ed avere la sua informativa privacy e le richieste dei consensi dovuti.
Il secondo è quando un soggetto esterno, per sua consuetudine, non vuole accettare la nomina a responsabile esterno, forse temendo di essere subordinato. In questo caso le vie sono solo due: cambiare collaborazione (la più drastica) oppure ricorrere all’autonomo titolare del trattamento che non è perfettamente in linea con la legge, ma almeno consente di tamponare una situazione un po’ borderline.
Conclusioni
In conclusione, consiglio vivamente tutti e specialmente le piccole e le micro realtà professionali a non sottovalutare questo aspetto di compliance alla normativa estremamente importante, che può aiutare moltissimo il titolare in caso di cause e controversie, e rendere il trattamento dati lecito e pertinente.
Nonché proteggere seriamente l’attività professionale.
