Ci sono tre tipologie di aziende: quelle che non si preoccupano della nomina del responsabile del trattamento, quelle che lo fanno a ogni piè sospinto ed infine quelle più sane, che si preoccupano se sia o meno necessario nominare un fornitore sulla base oggettiva del Regolamento UE 679/2016, senza finire nel ridicolo tentando di assegnare il ruolo anche all’azienda che fa la manutenzione alle fotocopiatrici.
Sono casi di normale incomprensione di chi sia effettivamente un responsabile del trattamento a norma del GDPR, ma anche del buonsenso.
Indice degli argomenti
Nomina del responsabile del trattamento: chiariamo il ruolo
Prima di tutto dobbiamo chiederci, se vogliamo capire la radice della confusione, cos’è esattamente il responsabile del trattamento.
Non mi è ancora chiaro in quale esatta fase della traduzione in lingua italiana del testo del Regolamento, o GDPR che dir si voglia, sia stato deciso di introdurre la tipica creatività italiana, ma sta di fatto che la cosa ha provocato non pochi problemi, specie nei confronti di chi non aveva piena dimestichezza con la “vecchia” normativa.
Nel nostro ordinamento, il responsabile del trattamento era, e sottolineo era, una figura che permetteva all’azienda (titolare del trattamento) di demandare parte della propria responsabilità nella gestione dei dati personali a figure esterne o anche interne.
Di fatto, se il responsabile del trattamento fosse stato un interno, in qualche modo poteva sgravare i vertici dell’azienda di molte incombenze perché, anche se è vero che il titolare doveva ben specificarne i compiti, una volta nominato poteva vivere di vita propria.
Ovviamente c’era chi nominava, correttamente, responsabile del trattamento l’amministratore stesso, oppure anche persone o enti esterni all’azienda.
Poi nel 2016 arriva il nuovo Regolamento UE che, oltre al titolare del trattamento, definisce una figura a lui collegata che in inglese viene chiamato “processor” o “data processor” ovvero, tradotto quasi letteralmente, “colui che elabora i dati”.
La cosa si fa ancora più misteriosa se analizziamo l’altra lingua principale usata dalla Commissione, il francese, che chiama il titolare del trattamento con il termine “responsable du traitement” di cui tralascio l’ovvia traduzione letterale.
Quanto sopra premesso, ecco la volontà e forse anche necessità di “collegarlo” a quello che poteva essere il suo corrispondente italiano, una figura, si credeva, conosciuta ai più, vale a dire il responsabile del trattamento.
Questo perché nella definizione del Regolamento ci sono molte somiglianze tra i due, ed in effetti in certi casi corrispondono ma, purtroppo, non sono la stessa esatta cosa anzi direi, per fare un paragone, sono gemelli omozigoti che hanno molti tratti in comune e alle volte li puoi confondere, ma se li osservi bene riesci a distinguerli notando le pesanti anche se piccole differenze.
Ricordandoci che il Regolamento è figlio della media di tutte le norme dell’Unione Europea, non sembra scandaloso che nella traduzione qualcuno abbia creduto utile mantenere una certa continuità dei termini, con alcuni effetti collaterali.
Allora vediamo, omettendo ciò che non serve, cosa sia un responsabile del trattamento a norma del GDPR.
È sicuramente qualcuno o qualcosa, come un’azienda, che tratta i dati personali in pancia al Titolare del trattamento.
Ad esempio, il fornitore del sito Internet è a tutti gli effetti un Responsabile del trattamento, perché?
Osserviamo cosa fa un utente che accede al nostro sito www.nomeazienda.it. Attraverso il suo computer si collega ad un altro computer, detto server, dove risiede il nostro sito. Ma il server, con molta probabilità, non è nostro. Nemmeno la linea da casa dell’utente al server stesso. Ecco che allora il fornitore del sito Internet raccoglie i dati di navigazione dell’utente per conto nostro. Ed in effetti l’utente si aspetta che siamo noi i principali responsabili dei suoi dati.
Così il fornitore del sito Internet diventa responsabile per quanto l’utente potrebbe subire a causa, ad esempio, di un hacker che viola il sistema.
Certo qualcuno potrebbe obbiettare che è il titolare del trattamento (la nostra azienda) responsabile in ultima analisi, perché a lei toccava assicurarsi dei corretti livelli di sicurezza.
Ma come facciamo noi azienda ad assicurarci nella pratica tutto questo? Il Regolamento prevede proprio che il titolare del trattamento, quando non può direttamente mettere mano a un’area che nella realtà gestisce i dati personali, debba nominare un responsabile del trattamento (esterno) e conseguentemente poter richiedere dei livelli minimi di sicurezza, ovvero che siano almeno gli stessi che lui, in quanto titolare, adotterebbe sulle sue proprie strutture.
L’espressione “livelli minimi di sicurezza” usata nella frase precedente non va confusa con quanto prevede il Regolamento in tema di sicurezza. Stiamo solo dicendo che il responsabile del trattamento non può avere livelli di sicurezza inferiori ai nostri, che devono essere in ogni caso adeguati.
E la sicurezza è solo un aspetto.
Nomina del responsabile del trattamento: usi e abusi
Rientrano quindi a pieno titolo di responsabile del trattamento gli studi paghe e chi effettua consulenza contabile e fiscale, ogniqualvolta tratta dati personali raccolti, in qualunque modo, dal titolare del trattamento.
In linea teorica, seguendo questa logica, rientrano nella regola anche banche e assicurazioni, anche se non sempre è facile ottenere applicata la norma che prevede una nomina espressa, tant’è che in certi casi si tenta di giustificare la mancata nomina supponendo che i livelli e gli standard a cui sono soggetti gli istituti bancari e assicurativi sino decisamente superiori a quelli richiesti da noi in quanto titolari del trattamento.
Per individuare correttamente se un fornitore è o meno individuabile come responsabile del trattamento, è necessario porsi alcune domande. È qualcuno a cui passo dati personali o dal quale li ricevo? Siamo noi a decidere le finalità dei trattamenti che lui effettuerà? Possiede una propria struttura tecnica ed è lui a decidere in autonomia la propria organizzazione aziendale?
Queste sono alcune delle domande principali.
Attenzione poi a chi si auto nomina titolare del trattamento perché, seppur teoricamente possibile, presuppone comunque tutta una serie di adempimenti sostanziali che sfido possa soddisfare: questa presa di posizione nasce probabilmente da una scarsa consapevolezza del Regolamento o da una ritrosia nel voler diventare potenzialmente ispezionabili da parte del titolare del trattamento.
Capita nel concreto che il titolare del trattamento si astenga dal nominare i reali responsabili del trattamento, per superficialità o per mancanza di un processo che li individui.
Ma capita anche l’opposto, come il caso di un titolare del trattamento che ha inviato ad un fornitore una nomina a responsabile solo per il fatto che forniva all’azienda un servizio “tecnologico”. Nel caso specifico si trattava di un fornitore incaricato della manutenzione dei fotocopiatori posti presso la sede del titolare del trattamento.
Chi si è occupato della messa a norma rispetto al Regolamento all’interno di quell’azienda, ha pensato bene di nominare come responsabile un fornitore che nel recente passato aveva loro venduto dei computer, dei fotocopiatori e con la stipula di un contratto limitato all’assistenza sulle apparecchiature per fotocopie.
Quali dati pensava potessero trattare, relativamente ai fotocopiatori? Anche se avessero stipulato un contratto di assistenza relativo ai computer, quali dati personali avrebbero trattato all’esterno della sede del titolare del trattamento?
Probabilmente la scelta è stata di nominare tutti i fornitori, anche solo con una parvenza di gestione di dati personali, come responsabili del trattamento, decisione non certo chiara ma certamente semplice. Ad evidenza di questa valutazione c’è la successiva revoca della richiesta di nomina a responsabile del trattamento dopo che il fornitore ha ben spiegato le ragioni per le quali lui non entrava in disponibilità dei dati personali.
Conclusioni
Il suggerimento è porsi le domande base indicate sopra e documentare la scelta.
Il titolare del trattamento deve sempre ricordarsi il principio di accountability (in italiano responsabilizzazione) che è di sua esclusiva competenza: dimostrare di essersi posto il problema; aver determinato una soluzione; documentare il percorso di scelta.
Una procedura semplice con la quale potrà giustificare (leggi attenuare) anche scelte sbagliate davanti all’Autorità di controllo.
