Sono diverse le figure che sono entrate nella nostra quotidianità a seguito dell’entrata in vigore del GDPR, il Regolamento Europeo sulla Protezione dei Dati Personali. Una di queste è il responsabile del trattamento. Quando lo si chiama in causa, sono diverse le domande da porsi. Se ti ponendo interrogativi in merito alle peculiarità e all’operato di questa figura, non devi fare altro che proseguire nella lettura di questo articolo, dove abbiamo selezionato cinque cose che devi assolutamente sapere.
Chi può ricoprire l’incarico di responsabile del trattamento dati?
Il GDPR è molto chiaro in merito a chi può ricoprire l’incarico del trattamento dei dati. Il Regolamento Europeo sottolinea che questo compito può essere svolto da una persona sia fisica sia giuridica. Inoltre, i compiti del responsabile del trattamento dei dati possono essere portati avanti anche dall’autorità pubblica. In tutti i casi, come viene esplicitato dall’articolo 4 del GDPR, tutto deve avvenire per conto del titolare del trattamento dei dati.
Il responsabile del trattamento deve essere un soggetto esterno all’azienda
L’orientamento del Regolamento Europeo è molto chiaro a questo proposito: il responsabile del trattamento dei dati deve essere un soggetto esterno all’azienda, designato in maniera specifica e ufficializzato a seguito della firma di un contratto. Chiaramente è necessario che il responsabile, nel suo lavoro quotidiano, si attenga alle istruzioni ricevute dal titolare. Nonostante questo, ha una responsabilità diretta e deve rispondere del suo operato in caso di controlli da parte delle autorità.
La conservazione dei documenti relativi a tutti i trattamenti effettuati
Sono diversi gli obblighi da chiamare in causa nel momento in cui si parla del responsabile del trattamento dei tati. Tra questi, rientra il fatto di conservare la documentazione relativa a tutti i trattamenti effettuati. Con il termine “conservazione”, si possono chiamare in causa anche diverse procedure informatiche. Questo implica, di riflesso, che il responsabile del trattamento deve avere competenze adeguate inerenti la gestione ottimale della conservazione sostitutiva.
La situazione unica dell’Italia
Torniamo un attimo a parlare del punto numero due. A tal proposito, è doveroso chiamare in causa la situazione speciale dell’Italia. Nel nostro Paese, l’orientamento principale vede spesso in primo piano la scelta di un responsabile del trattamento dei dati interno all’azienda. A tal proposito, è opportuno chiamare in causa la Legge 167 del 20 novembre 2017, tramite la quale è stata messa in atto una modifica dell’articolo 29 del Codice della Privacy, che parla proprio del responsabile del trattamento e di aspetti come la possibilità, in caso di specifiche esigenze organizzative, di designare per il ruolo sopra citato più soggetti. Fondamentale è ricordare che, a seguito della riforma del Codice della Privacy, l’articolo sopra menzionato è stato abrogato.
Il sub-responsabile
Può esserci un sub-responsabile del trattamento? La risposta è affermativa! A fornire le linee guida da seguire in questo caso ci pensa l’articolo 28 del GDPR (che non è esplicitamente dedicato alla figura sulla quale stiamo incentrando questo punto). Tra le sue righe si legge il fatto che, nel momento in cui un responsabile del trattamento dei dati ricorre a un sub-responsabile, i compiti di quest’ultimo sono gli stessi esplicitati nel contratto che regola il rapporto fra il titolare del trattamento dei dati e il responsabile principale.
Un altro aspetto essenziale da sottolineare riguarda il fatto che, nell’eventualità di un mancato adempimento da parte del sub-responsabile, il responsabile principale deve rispondere di quanto successo nei confronti del titolare del trattamento dei dati. La risposta appena citata comprende anche il risarcimento di eventuali danni. L’unica eccezione riguarda i casi in cui l’evento dannoso che ha riguardato i dati personali non risulta in alcun modo imputabile al sub-responsabile.