La dovuta verifica dei responsabili dei trattamenti (art.28 del GDPR)
Iniziamo a ricordare, sinteticamente, chi sono i “responsabili dei trattamenti”, detti anche responsabili esterni. Perché “esterni”? Esterni perché sono quelle entità giuridiche o persone fisiche che trattano i dati personali per conto del titolare del trattamento. Se fosse una persona all’interno dell’organizzazione del titolare, il trattamento sarebbe ancora effettuato da quest’ultimo, magari per mezzo di un collaboratore, che non si configurerebbe come “responsabile”, ma come “incaricato” ora definito dal GDPR “autorizzato” o “designato privacy” se il suo ruolo comprende le procedure relative al GDPR in azienda.
Esempi di responsabili esterni sono i consulenti del lavoro, spesso i commercialisti, le società di sicurezza del lavoro, le società di assistenza ai software gestionali, gli amministratori di condominio (quando trattano i dati relativi al condominio), e così via.
I responsabili vanno nominati con apposito atto giuridico controfirmato ma non prima di aver verificato la loro conformità al GDPR. Infatti, non sarebbe pensabile consentire il trattamento dei dati di terzi (dipendenti, clienti, etc.) a chi non garantisce l’applicazione di tutte le misure previste dalla legge. Inoltre, la verifica della conformità è prevista dal regolamento e, in caso di data breach, la responsabilità ricadrebbe sul titolare del trattamento.
Ma come deve essere effettuata tale verifica?
E’ necessario pianificare un momento di audit durante il quale, tramite alcune domande mirate, ci si accerta che l’azienda o il professionista da nominare segua tutte le disposizioni della normativa e sia organizzato e formato adeguatamente al fine di trattare i dati in modo sicuro e lecito. Se necessario e se i dati forniti per i trattamenti sono particolarmente sensibili, si può effettuare anche un sopralluogo per effettuare dei controlli più accurati sulle strumentazioni utilizzate.
