Il Responsabile del Trattamento

Il Responsabile del Trattamento

Chi è responsabile del trattamento dei dati personali in azienda?

Abbiamo già avuto modo di chiarire nei prece­denti articoli, come la responsabilità unica ed indiscutibile sul corretto trattamento dei dati personali delle persone fisiche, sia del Titolare dell’azienda.

Tuttavia, spesso è necessario avere delle competenze specifiche che il Titolare non ha e per questo alcune attività vengano demandate a terzi. Si pensi al Commercialista, piuttosto che al Consulente del Lavoro o altri collabo­ratori esterni.

In relazione a detta tematica, il Regolamento Europeo UE/2016/679, cosiddetto GDPR, con­sente al titolare di designare un terzo, denomi­nato “Responsabile Esterno del Trattamento” cui delegare e affidare alcune mansioni specifiche e spesso di elevata professionalità, che implica­no necessariamente anche il trattamento di dati personali di persone fisiche.

In genere il Responsabile Esterno del Tratta­mento dei dati personali non opera direttamente sotto la responsabilità del Titolare dell’azienda, ma lavora in autonomia.

Cosa specifica in merito il GDPR?

Il GDPR dedica un intero articolo a detta figu­ra, prevedendo all’articolo 28 come il titolare del trattamento, qualora necessario, debba ricorrere unicamente a Responsabili del Trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti del regolamento stesso così da garantire la tutela dei diritti dell’interessato.

Pertanto, il Responsabile Esterno del Trattamen­to dei dati personali deve disporre dei requisiti di conoscenza, abilità e competenza, tali da poter sostituire in toto il Titolare del Trattamento.

È per questo motivo che il regolamento, in caso di violazione circa il trattamento dei dati perso­nali, prevede una responsabilità solidale di en­trambe le figure.

Come viene regolamentato il rapporto tra le due figure?

Per regolamentare il rapporto tra le due figure, e cioè quella del Titolare e del Responsabile ester­no, è necessario stilare un contratto o altro atto giuridico, all’interno del quale vengano regolate in modo specifico, le condizioni, le finalità dell’in­carico, il tipo di dati personali trattati, le categorie di interessati, i diritti del Titolare del Trattamento e le responsabilità del nominato Responsabile Esterno del Trattamento.

È infine importante disciplinare nel predetto contratto, la facoltà del Titolare del Trattamento di chiedere al nominato Responsabile che van­gano cancellati o comunque gli vengano restituiti dopo il termine dell’incarico conferito, tutti i dati personali trattati.

Il Responsabile deve inoltre mettere a disposi­zione del Titolare tutte le informazioni necessa­rie per dimostrare il rispetto degli obblighi impo­sti dal regolamento. Infine, quando un responsabile del trattamento ricorra ad un altro Responsabile del Trattamen­to, su tale altro Responsabile del Trattamento dovranno essere imposti, mediante un altro con­tratto o atto giuridico,

COME ADEGUARSI AL GDPR

I principali adempimenti per conformarsi alle norme previste dal Regolamento Europeo sulla Protezione dei dati n. 679/2016

Come adeguarsi al GDPR

Come abbiamo avuto modo di trattare nei precedenti articoli, oggi chiunque tratti dati personali di persone fisiche deve aver posto in essere tutte quelle misure disciplinate e im­poste dal Regolamento Europeo e dal Codice della Privacy.

PERCHÉ L’ADEGUAMENTO È DA CONSIDERARSI UN’OPPORTUNITÀ E NON UN PESO?

Il Regolamento si applica in tutte le nazioni euro­pee e permette di semplificare gli adempimenti amministrativi relativi ad una corretta raccolta e giusta modalità di trattamento dei dati personali delle persone fisiche.

Questo significa che le aziende che hanno clienti, dipendenti o fornitori all’estero o che comunque hanno in programma di espandersi fuori dall’Italia, potranno implementare e seguire un’unica procedura in materia di protezione dei dati personali valida per tutto il territorio della Comunità Europea.

L’unico impegno addizionale per l’impresa, sarà chiaramente la traduzione nella lingua del Paese interessato e coinvolto.

Pertanto, la procedura oggi utilizzata sarà valida anche nei confronti degli altri 27 Paesi Europei.

QUALI SONO I PERSONAGGI COINVOLTI NEL REGOLAMENTO EUROPEO E QUINDI NEL GDPR?

Innanzitutto è coinvolto il Legale Rappresentante dell’azienda, quale soggetto che deve mettere in atto tutti gli adempimenti per il rispetto del GDPR, avendo contezza di chi siano i sogget­ti INTERESSATI che gravitano intorno alla Sua azienda.

Si ricordi come l’INTERESSATO sia necessaria­mente sempre e solo una persona fisica.

Al fine di mappare i soggetti INTERESSATI, sarà necessario individuare chi siano i CLIENTI, i DI­PENDENTI e i FORNITORI della società.

QUAL È LA PRIMA ATTIVITÀ CHE OGNI IMPRESA DEVE OGGI AVER POSTO IN ESSERE NEI CONFRONTI DEI SOGGETTI INTERESSATI?

Chiunque acquisisca dati personali di un interes­sato diventa automaticamente TITOLARE DEL TRATTAMENTO e quindi responsabile delle mo­dalità in cui avviene per l’appunto il trattamento.

Titolare del trattamento è l’azienda nel suo com­plesso, in particolare il Legale Rappresentante il cui ruolo è proprio quello di rappresentare l’a­zienda nei confronti di qualunque soggetto terzo.

Nessun titolare del trattamento può permetter­si oggi di raccogliere e trattare i dati personali senza aver preventivamente offerto un’appro­priata informativa e, se necessario, un modulo di consenso.

Il primo adempimento è dunque senza dubbio: la predisposizione delle c.d INFORMATIVA che deve obbligatoriamente essere fornita all’inte­ressato, in fase di raccolta dei suoi dati.

Detta informativa, come già sopra precisato è egualmente utilizzabile sia che si tratti di sogget­to presente all’interno dell’Italia sia che si tratti di soggetto presente in altro paese Europeo.

Per le aziende che hanno un sito web, sarà op­portuno pubblicare l’informativa anche sul pro­prio sito.

CI SONO ALTRI ADEMPIMENTI OLTRE ALL’INFORMATIVA PER GLI INTERESSATI?

Certo, ci sono vari adempimenti che avremo modo di percorrere nei prossimi articoli.

Per quanto riguarda l’interessato, oltre all’infor­mativa bisogna tener conto della necessità di ottenere il consenso esplicito.

QUANDO SERVE IL CONSENSO ESPLICITO DELL’INTERESSATO?

Non è sempre necessario munirsi del consenso scritto dell’interessato, infatti a volte il trattamen­to dei dati personali non è necessariamente ba­sato sull’acquisizione di un consenso esplicito.

Ci sono alcuni casi, come per esempio la sti­pula di un contratto in cui l’interessato, oltre ad esserne parte, deve comunicare alcuni suoi dati personali non strettamente indispensabili per fi­nalizzare il contratto stesso.

Altro caso in cui consiglio il previo ottenimento di un consenso scritto è il caso in cui il Titolare voglia utilizzare i dati personali raccolti, anche per finalità di marketing.

COME DEVE ESSERE RACCOLTO E CONSERVATO IL CONSENSO?

Il titolare del trattamento, una volta raccolto il consenso, deve essere in grado di poter dimo­strare l’intervenuto consenso, per questo è co­munque preferibile munirsi di una dichiarazione scritta, in cui la richiesta di consenso è presen­tata in modo chiaramente distinguibile dagli altri argomenti contenuti nel documento.

Il consenso deve essere prestato in forma com­prensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.