Art. 28 del GDPR: I Responsabili Esterni. Chi sono? Che responsabilità hanno? Ne è responsabile il Titolare dei trattamenti?

Il Responsabile Esterno è la persona fisica o giuridica che, per conto del Titolare dei trattamenti, effettua il trattamento di dati personali. Facciamo un esempio concreto: un’azienda è titolare dei trattamenti dei dati dei propri dipendenti. Infatti, in virtù del rapporto di collaborazione, l’azienda deve, ovviamente, raccogliere e trattare i dati personali dei propri dipendenti, dai dati fiscali a quelli di contatto, documenti, etc. Nel momento in cui l’azienda si avvale di un consulente del lavoro per la gestione del rapporto di lavoro e, nello specifico, per la redazione dei cedolini paga, per le pratiche Inail, etc., quest’ultimo, in virtù dell’incarico ricevuto, diventa Responsabile Esterno dei trattamenti, nei confronti dell’impresa.

Le responsabilità su quei dati vengono distribuite tra il titolare e il responsabile sulla base delle specifiche competenze, infatti, se il consulente del lavoro subisce un data breach (violazione dei dati), in un suo dispositivo informatico, è anche tenuto a risponderne in caso di danni cagionati al soggetto interessato. Naturalmente, la violazione, se ritenuta gravemente impattante, deve essere comunicata tempestivamente al titolare, al soggetto interessato e, nei casi previsti al Garante della Privacy (artt. 33 e 34 del GDPR).

Ma siamo sicuri che il titolare dei trattamenti si possa ritenere escluso dalla responsabilità? In realtà non del tutto. Il titolare è comunque la prima figura interpellata in caso di anomalie, illeciti e violazioni, in particolare quando il data breach è causa di danni riferibili al soggetto interessato. Ricordiamo che i danni possono riguardare la sfera economica; quella della reputazione e della credibilità e così via.

Diciamo che la responsabilità del titolare si manifesta in primo luogo nella scelta del responsabile esterno. Infatti, è semplice invitare i propri fornitori di servizi a firmare un atto di nomina, ma, il vero onere, da parte del titolare, è la verifica della conformità del responsabile per quel ruolo, oltre all’applicazione di tutte le misure di sicurezza a tutela dei dati gestiti.

Ipotizziamo che per via di un attacco informatico o di un furto di un archivio nell’ufficio del responsabile esterno, un soggetto subisca una truffa, un furto di identità o un danno reputazionale a causa della perdita di riservatezza dei dati mal conservati. A seguito di una denuncia del soggetto interessato, la prima verifica potrebbe scattare nei confronti del titolare dei trattamenti o direttamente nei confronti del responsabile.

Ma il punto è: il titolare, prima di nominare il responsabile, si è accertato della sua conformità al GDPR? Ammesso che il responsabile dimostri una conformità “formale” al GDPR, è stato accertato che le misure da questi intraprese rispondano realmente alle esigenze di protezione e tutela dei dati condivisi?

Se tali verifiche non fossero dimostrate, il titolare dei trattamenti, potrebbe essere chiamato a rispondere in solido per eventuali danni cagionati e diventare passibile di sanzionamenti da parte dell’autorità garante.

Kruzer offre alle imprese il servizio di verifica della nomina e della conformità dei responsabili esterni.

Ricordiamo le figure principali di potenziali responsabili esterni: consulenti del lavoro; commercialisti; società di medicina del lavoro; società di assistenza informatica (sistemi e gestionali); agenti di commercio; amministratori di condominio; avvocati (quando operano come consulenti per le imprese); società di recupero crediti; società di sicurezza del lavoro; società di formazione aziendale.

 

Per informazioni e approfondimenti cliccare qui.

Condividi