Chi è responsabile del trattamento dei dati personali in azienda?
Abbiamo già avuto modo di chiarire nei precedenti articoli, come la responsabilità unica ed indiscutibile sul corretto trattamento dei dati personali delle persone fisiche, sia del Titolare dell’azienda.
Tuttavia, spesso è necessario avere delle competenze specifiche che il Titolare non ha e per questo alcune attività vengano demandate a terzi. Si pensi al Commercialista, piuttosto che al Consulente del Lavoro o altri collaboratori esterni.
In relazione a detta tematica, il Regolamento Europeo UE/2016/679, cosiddetto GDPR, consente al titolare di designare un terzo, denominato “Responsabile Esterno del Trattamento” cui delegare e affidare alcune mansioni specifiche e spesso di elevata professionalità, che implicano necessariamente anche il trattamento di dati personali di persone fisiche.
In genere il Responsabile Esterno del Trattamento dei dati personali non opera direttamente sotto la responsabilità del Titolare dell’azienda, ma lavora in autonomia.
Cosa specifica in merito il GDPR?
Il GDPR dedica un intero articolo a detta figura, prevedendo all’articolo 28 come il titolare del trattamento, qualora necessario, debba ricorrere unicamente a Responsabili del Trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti del regolamento stesso così da garantire la tutela dei diritti dell’interessato.
Pertanto, il Responsabile Esterno del Trattamento dei dati personali deve disporre dei requisiti di conoscenza, abilità e competenza, tali da poter sostituire in toto il Titolare del Trattamento.
È per questo motivo che il regolamento, in caso di violazione circa il trattamento dei dati personali, prevede una responsabilità solidale di entrambe le figure.
Come viene regolamentato il rapporto tra le due figure?
Per regolamentare il rapporto tra le due figure, e cioè quella del Titolare e del Responsabile esterno, è necessario stilare un contratto o altro atto giuridico, all’interno del quale vengano regolate in modo specifico, le condizioni, le finalità dell’incarico, il tipo di dati personali trattati, le categorie di interessati, i diritti del Titolare del Trattamento e le responsabilità del nominato Responsabile Esterno del Trattamento.
È infine importante disciplinare nel predetto contratto, la facoltà del Titolare del Trattamento di chiedere al nominato Responsabile che vangano cancellati o comunque gli vengano restituiti dopo il termine dell’incarico conferito, tutti i dati personali trattati.
Il Responsabile deve inoltre mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi imposti dal regolamento. Infine, quando un responsabile del trattamento ricorra ad un altro Responsabile del Trattamento, su tale altro Responsabile del Trattamento dovranno essere imposti, mediante un altro contratto o atto giuridico,
COME ADEGUARSI AL GDPR
I principali adempimenti per conformarsi alle norme previste dal Regolamento Europeo sulla Protezione dei dati n. 679/2016
Come abbiamo avuto modo di trattare nei precedenti articoli, oggi chiunque tratti dati personali di persone fisiche deve aver posto in essere tutte quelle misure disciplinate e imposte dal Regolamento Europeo e dal Codice della Privacy.
PERCHÉ L’ADEGUAMENTO È DA CONSIDERARSI UN’OPPORTUNITÀ E NON UN PESO?
Il Regolamento si applica in tutte le nazioni europee e permette di semplificare gli adempimenti amministrativi relativi ad una corretta raccolta e giusta modalità di trattamento dei dati personali delle persone fisiche.
Questo significa che le aziende che hanno clienti, dipendenti o fornitori all’estero o che comunque hanno in programma di espandersi fuori dall’Italia, potranno implementare e seguire un’unica procedura in materia di protezione dei dati personali valida per tutto il territorio della Comunità Europea.
L’unico impegno addizionale per l’impresa, sarà chiaramente la traduzione nella lingua del Paese interessato e coinvolto.
Pertanto, la procedura oggi utilizzata sarà valida anche nei confronti degli altri 27 Paesi Europei.
QUALI SONO I PERSONAGGI COINVOLTI NEL REGOLAMENTO EUROPEO E QUINDI NEL GDPR?
Innanzitutto è coinvolto il Legale Rappresentante dell’azienda, quale soggetto che deve mettere in atto tutti gli adempimenti per il rispetto del GDPR, avendo contezza di chi siano i soggetti INTERESSATI che gravitano intorno alla Sua azienda.
Si ricordi come l’INTERESSATO sia necessariamente sempre e solo una persona fisica.
Al fine di mappare i soggetti INTERESSATI, sarà necessario individuare chi siano i CLIENTI, i DIPENDENTI e i FORNITORI della società.
QUAL È LA PRIMA ATTIVITÀ CHE OGNI IMPRESA DEVE OGGI AVER POSTO IN ESSERE NEI CONFRONTI DEI SOGGETTI INTERESSATI?
Chiunque acquisisca dati personali di un interessato diventa automaticamente TITOLARE DEL TRATTAMENTO e quindi responsabile delle modalità in cui avviene per l’appunto il trattamento.
Titolare del trattamento è l’azienda nel suo complesso, in particolare il Legale Rappresentante il cui ruolo è proprio quello di rappresentare l’azienda nei confronti di qualunque soggetto terzo.
Nessun titolare del trattamento può permettersi oggi di raccogliere e trattare i dati personali senza aver preventivamente offerto un’appropriata informativa e, se necessario, un modulo di consenso.
Il primo adempimento è dunque senza dubbio: la predisposizione delle c.d INFORMATIVA che deve obbligatoriamente essere fornita all’interessato, in fase di raccolta dei suoi dati.
Detta informativa, come già sopra precisato è egualmente utilizzabile sia che si tratti di soggetto presente all’interno dell’Italia sia che si tratti di soggetto presente in altro paese Europeo.
Per le aziende che hanno un sito web, sarà opportuno pubblicare l’informativa anche sul proprio sito.
CI SONO ALTRI ADEMPIMENTI OLTRE ALL’INFORMATIVA PER GLI INTERESSATI?
Certo, ci sono vari adempimenti che avremo modo di percorrere nei prossimi articoli.
Per quanto riguarda l’interessato, oltre all’informativa bisogna tener conto della necessità di ottenere il consenso esplicito.
QUANDO SERVE IL CONSENSO ESPLICITO DELL’INTERESSATO?
Non è sempre necessario munirsi del consenso scritto dell’interessato, infatti a volte il trattamento dei dati personali non è necessariamente basato sull’acquisizione di un consenso esplicito.
Ci sono alcuni casi, come per esempio la stipula di un contratto in cui l’interessato, oltre ad esserne parte, deve comunicare alcuni suoi dati personali non strettamente indispensabili per finalizzare il contratto stesso.
Altro caso in cui consiglio il previo ottenimento di un consenso scritto è il caso in cui il Titolare voglia utilizzare i dati personali raccolti, anche per finalità di marketing.
COME DEVE ESSERE RACCOLTO E CONSERVATO IL CONSENSO?
Il titolare del trattamento, una volta raccolto il consenso, deve essere in grado di poter dimostrare l’intervenuto consenso, per questo è comunque preferibile munirsi di una dichiarazione scritta, in cui la richiesta di consenso è presentata in modo chiaramente distinguibile dagli altri argomenti contenuti nel documento.
Il consenso deve essere prestato in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.