l GDPR prevede la possibilità di individuare, nell’ambito dell’organizzazione aziendale, uno o più soggetti – anche esterni allo studio – cui lo stesso studio (titolare del trattamento) delega alcune funzioni relative all’applicazione delle prescrizioni imposte dalla norma, per garantire l’effettuazione di trattamenti leciti e conformi ai principi di legge.

Innanzitutto, occorre precisare il diverso ruolo ricoperto da titolare e responsabile del trattamento.

Chi è titolare del trattamento

Ai sensi dell’Articolo 4 del GDPR, il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Chi è responsabile del trattamento

Il responsabile del trattamento è, invece, la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Naturalmente, la scelta del responsabile esterno deve cadere su soggetti professionalmente idonei.

Accordo scritto

Il rapporto tra titolare e responsabile del trattamento deve essere regolato da un contratto, stipulato per iscritto, che, oltre a vincolare a vicenda le due figure, deve prevedere la materia disciplinata, la durata del trattamento, la natura e le finalità dello stesso, nonché il tipo di dati personali e le categorie di interessati a cui i dati si riferiscono. Policy e misure di sicurezza

Appare dunque evidente come sia opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che egli abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, ai sensi dell’Articolo 24 del GDPR, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il Regolamento stesso, compresa l’efficacia delle predette misure.

A tal fine, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure idonee a soddisfare, in particolare, i principi della protezione dei dati fin dalla loro progettazione. Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e favorire la creazione e il miglioramento delle caratteristiche di sicurezza.

Le misure suddette dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche, che possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, ad esempio nel caso di valutazione di aspetti personali, come quelli riguardanti il rendimento professionale o la situazione economica.

L’Articolo 28 del GDPR, poi, stabilisce che, qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo può ricorrere a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative adeguate affinché il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato.

Responsabilità solidale

L’applicazione da parte del responsabile del trattamento di un codice di condotta approvato o di un meccanismo di certificazione può essere utilizzata come elemento per dimostrare il rispetto degli obblighi prescritti dal GDPR.

Infatti, l’Articolo 82, comma 1, stabilisce che chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Tuttavia, mentre il titolare deve risarcire qualsiasi danno cagionato dalla sua violazione, il responsabile del trattamento risponde solo se non ha adempiuto agli obblighi a lui specificatamente diretti, o ha agito in modo difforme o contrario alle istruzioni del titolare.

Sempre l’Articolo 82, inoltre, prevede un regime di responsabilità solidale tra il titolare e il responsabile, se entrambi i soggetti sono responsabili.

In tali circostanze, tutti i soggetti responsabili sono chiamati a rispondere nei confronti del danneggiato in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo.

Il titolare del trattamento o il responsabile che ha risarcito per intero il danno, ha diritto di agire con l’azione di regresso verso i titolari o i responsabili del trattamento coinvolti nello stesso trattamento, per ottenere il rimborso della quota di risarcimento corrispondente alla loro parte di responsabilità.

Anche il responsabile, quindi, deve avere a disposizione risorse sufficienti in termini di personale, economici e quant’altro, necessarie per svolgere i compiti affidati dal titolare. Tuttavia, se si tratta di un trattamento dei dati interno all’organizzazione, sarà il titolare del trattamento a dover fornire tali risorse, mentre se il trattamento è affidato all’esterno normalmente le risorse sono autonome del responsabile.

Data Protection Officer

Il titolare del trattamento e i responsabili esterni potranno giovarsi anche della nuova, e già citata, figura del responsabile della protezione dei dati personali (Data Protection Officer), un ulteriore supporto per garantire e dimostrare la conformità normativa al nuovo Regolamento europeo ed un’effettiva protezione dei personali nell’organizzazione.

Considerazioni conclusive

In pratica, il motivo per cui il consulente del lavoro dovrebbe interessarsi e analizzare con cura gli articoli sopra citati consiste nel fatto che sempre di più, oggi, molte attività di trattamento dei dati sono “esternalizzate”, ossia sono trasferite a società che lo fanno per professione, facendo sì che i costi, per il titolare, diminuiscano.

Il Regolamento ammette questa attività di esternalizzazione dei trattamenti e, anzi, la approva, ma non vuole che gli interessati subiscano danni o vedano abbassati i loro parametri di sicurezza. Ecco perché, allora, la norma insiste sulla definizione accurata, con un contratto, delle rispettive responsabilità e anche di chi sia il punto di contatto per l’interessato che voglia esercitare i suoi diritti.

L’attuazione del Regolamento comporterà allora, in molti casi, un’attività di revisione di tutti questi documenti contrattuali, adeguandoli alle linee guida per i contratti contenute nel Regolamento stesso.

RossellaNewsl GDPR prevede la possibilità di individuare, nell’ambito dell’organizzazione aziendale, uno o più soggetti - anche esterni allo studio - cui lo stesso studio (titolare del trattamento) delega alcune funzioni relative all’applicazione delle prescrizioni imposte dalla norma, per garantire l’effettuazione di trattamenti leciti e conformi ai principi di legge. Innanzitutto,...