Gdpr : chi è tenuto a fare cosa? Quali sono le responsabilità?
In molte organizzazioni è stato nominato (sbagliando) il “responsabile privacy”, intendendo un collaboratore, spesso ma non sempre, un dirigente, che si occupasse di tutte le incombenze della normativa. In realtà, tale collaboratore, si configura semplicemente come un “designato privacy”, assumendo una responsabilità molto limitata e solo nei confronti del datore di lavoro, ne più ne meno, come un incaricato al trattamento, oggi definito autorizzato al trattamento.
L’incaricato al trattamento, oggi denominato “autorizzato al trattamento” è la persona che tratta i dati per conto del titolare dei trattamenti, generalmente, all’interno della sua organizzazione, in qualità di collaboratore.
Deve ricevere una formazione di base che verta sulle principali regole e principi del GDPR e della protezione dei dati (art. 29).
L’autorizzato non è considerato responsabile dall’ Autorità del Garante, che, in caso di inadempienza, si rivolgerà sempre e solo al titolare. Quindi in azienda si trova chi è titolare dei dati e chi è autorizzato a trattarli, in pratica, la sua “longa manus”.
Chi è, quindi il “vero” responsabile dei trattamenti o, in breve, il responsabile?
Si intende responsabile del trattamento, la persona fisica o l’entità giuridica che tratta i dati per conto del titolare dei trattamenti. Alcuni esempi, sono: il consulente paghe, l’istituto di formazione, il medico del lavoro, chi si occupa dell’assistenza sul gestionale, etc, generalmente, con una sua struttura giuridica e organizzativa, infatti, il termine più corretto è: responsabile esterno del trattamento.
Il responsabile esterno deve essere conforme al GDPR e deve essere disponibile a qualsiasi verifica da parte del titolare di riferimento, spesso il suo cliente.
Le responsabilità sono simili a quelle del titolare. Deve esserci un atto formale di nomina e devono essere specificati trattamenti, finalità e misure di sicurezza. In caso di “data breach” (violazione o incidente che coinvolge i dati personali) viene chiamato a rispondere e deve seguire tutte le procedure previste, che includono: analisi della situazione, relazione al Garante (quando prevista), comunicazione ai soggetti interessati, etc.
Se il dato viene trattato da un’entità esterna per una finalità di business diretto, diverso da quello del titolare iniziale, ma complementare per il raggiungimento di una finalità condivisa, si configura il ruolo del “contitolare”. Per esempio, la banca che trasmette il dato del cliente alla società assicurativa partner, definisce, con quest’ultima, una situazione di contitolarità: in questo caso, la responsabilità è divisa equamente tra i due soggetti, a meno che, non sia stato redatto un documento che definisca i “perimetri” dei trattamenti e le rispettive obbligazioni. Ricordiamo, comunque, che il contratto di contitolarità è disposto dal regolamento (art.26).
In tutti i casi il responsabile in primis resta sempre il titolare dei dati, al netto di eventuali rivalse, anche se, in realtà, una schiacciante prova di dolo da parte del responsabile esterno potrebbe far ricadere giustamente su quest’ultimo tutte le conseguenze di tipo sanzionatorio e risarcitorio.
La responsabilità primaria, in caso di violazioni, resta al titolare dei trattamenti anche quando fosse presente, perché previsto dall’art. 37 del GDPR, il responsabile della protezione dei dati, comunemente conosciuto con l’acronimo anglosassone “DPO”.
Il DPO, insieme alla figura del contitolare, rappresenta una delle molteplici novità del regolamento europeo rispetto alla precedente direttiva. Egli riveste un ruolo praticamente di “garante” del rispetto della normativa, da parte dell’impresa, e di punto di contatto tra impresa e Autorità di Garanzia della Privacy. Deve essere “superpartes”, quindi non coinvolto direttamente nei trattamenti di dati che deve verificare (spesso, infatti, vengono incaricati consulenti esterni); dev’essere un esperto di protezione dati e della normativa e deve essere notificato presso l’ufficio del Garante della Privacy.
Daniele Umberto Spano
