Ruoli, nomine e responsabilità nel GDPR

ruoli-nomine-responsabilita-GDPR

Chi è tenuto a fare cosa?

In Italia abbiamo sempre avuto la propensione della nomina "scarica barile": spesso si nominava il responsabile interno dell'adeguamento privacy, così c'era qualcuno che si occupava di questa perdita di tempo.

In realtà, anche con la vecchia normativa, il "controller" era il titolare dei dati, cioè la persona giuridica, l'azienda, che ricadeva inevitabilmente nel legale rappresentante pro tempore. Il "processor" era sempre e solo l'incaricato al trattamento. Quindi?

CHE RUOLI C'ERANO (E SONO RIMASTI)

C'erano (e ci sono) il titolare dei dati e l'incaricato al trattamento.

Significa che è vietato nominare un responsabile "intermedio" tra queste due figure? Assolutamente no.

Tuttavia tale figura non è considerata dall' Autorità del Garante, che, in caso di inadempienza, si rivolgerà sempre e solo al titolare. Quindi in azienda si trova chi è titolare dei dati e chi è autorizzato a trattarli.

In alcuni casi ci dovrà essere il Dpo, ed è buona cosa che ci sia un amministratore di sistema, in grado di gestire correttamente la sicurezza dei dispositivi informatici (cybersecurity).

CHE COS'È LA FIGURA DEL RESPONSABILE?

Si intende il responsabile esterno del trattamento, cioè l'entità esterna all'azienda che tratta i dati di cui l'azienda è titolare. Possiamo immaginare il consulente paghe, l'istituto di formazione, il medico del lavoro, chi si occupa dell'assistenza sul gestionale, etc.

Se il dato viene trattato da un' entità esterna per una finalità di business diretto, diverso da quello del titolare iniziale, si configura la figura del "contitolare". Per esempio, la banca che trasmette il dato del cliente alla società assicurativa partner, definisce, con quest'ultima, una situazione di contitolarità: in questo caso, la responsabilità è divisa equamente tra i due soggetti.

In tutti gli altri casi il responsabile primario è sempre e solo il titolare dei dati, al di là di eventuali rivalse, anche se, in realtà, una schiacciante prova di dolo da parte del reponsabile esterno potrebbe far ricadere giustamente su quest'ultimo tutte le conseguenze di tipo sanzionatorio e risarcitorio.


CONDIVIDI: