Se siete lettori di questa rubrica, ad oggi dovreste ritrovarvi con un’informativa aggiornata e il registro dei trattamenti della vostra azienda (ne abbiamo parlato qui).
Le novità del GDPR non finiscono qui, anzi, ritengo che una delle questioni più dibattute riguardi proprio l’attribuzione della responsabilità in caso di violazione della normativa. In questo articolo cercheremo di definire schematicamente le varie figure disciplinate dal GDPR, soffermandoci in particolar modo sul ruolo del responsabile del trattamento.
Titolare del trattamento (data controller): “è colui che da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali” (art. 2 lett. d)
Responsabile della protezione dei dati (DPO): all’interno del GDPR non è presente una definizione di DPO, per cui, data la complessità del ruolo, mi riservo di approfondire con il prossimo articolo della rubrica, al momento ci riferiremo al DPO come: “quel professionista, interno o esterno a una determinata struttura, che ha il compito di sovrintendere a tutti i processi che riguardano il trattamento dei dati personali compiuti all’interno della stessa, intervenendo in piena indipendenza e autonomia qualora individui problemi che potrebbero comportare un trattamento dei dati che presenti rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.”
Responsabile del trattamento (data processor): “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da disposizioni legislative o regolamentari nazionali o comunitarie, il responsabile del trattamento o i criteri specifici per la sua designazione possono essere fissati dal diritto nazionale o comunitario”.
Il concetto di responsabile del trattamento serve a determinare in primo luogo chi risponde dell’osservanza delle norme relative alla protezione dei dati, e il modo in cui gli interessati possono esercitare in pratica i propri diritti. In altre parole, serve ad attribuire responsabilità all’incaricato, ma tale obiettivo può essere raggiunto solo se i responsabili del trattamento dei dati vengono adeguatamente spinti ad adottare tutte le misure necessarie per garantire una effettiva protezione.
Secondo il parere del WP 169 la designazione di un responsabile del trattamento risponde all’obiettivo di garantire che la responsabilità del trattamento dei dati sia chiaramente definita e possa essere effettivamente applicata.
A tal proposito occorre sottolineare che:
- è risarcibile qualsiasi danno causato da una violazione del regolamento (art. 82.1);
- il titolare de trattamento è responsabile e risponde per il danno cagionato dal suo trattamento (art. 82.2);
- il responsabile del trattamento è responsabile in solido per il risarcimento del danno con titolare, contitolare e altri responsabili (art. 26.3, art. 28, art. 82.4).
In base alla disamina della normativa, allo stato attuale, appare conciliabile la nomina di un responsabile sia interno che esterno interno a patto che quest’ultimo agisca da Responsabile, ovvero quando effettivamente tratti dati personali per conto del titolare.
Per comprendere la vera rivoluzione del GDPR occorre soffermarsi non tanto sulle definizioni, ma sulla tipologia di approccio che, con l’attuazione della disciplina, è basato sul rischio, ovvero è compito del titolare adottare le misure di protezione, tecniche ed organizzative che ritiene più opportune per adempiere alla normativa.
È proprio in base a tale assunto che il titolare del trattamento può decidere o di trattare i dati all’interno della propria organizzazione o di delegare tutte o una parte delle attività di trattamento ad un’organizzazione esterna.
In conclusione, al fine di mettere a disposizione dei professionisti gli strumenti legali che permettano di adeguarsi al GDPR, ritengo opportuno ribadire la necessità di poter dimostrare all’Autorità di aver predisposto tutti gli accorgimenti necessari per rendere trasparente, e documentabile, il proprio operato. Un buon punto di partenza potrebbe essere la redazione di un apposito atto di nomina del responsabile del trattamento che tenga conto della nuova normativa. A tal proposito segnalo l’atto di nomina dell’ Azienda Ospedaliera specializzata in Gastroenterologia “Saverio de Bellis” (consultabile a questo link).
Leggi tutti gli articoli della rubrica Road to GDPR
© RIPRODUZIONE RISERVATA
