IN MERITO ALL’INCARICO DI RESPONSABILE AL TRATTAMENTO.

Il GDPR 679/16 ha colto molte aziende impreparate e ha spaventato molti i soggetti interessati, più per non conoscenza della norma che altro. 

VEDIAMO DI FARE UN PO’ CHIAREZZA.

Il titolare al trattamento dei dati, quando non può, o non vuole, trattare direttamente dei dati, affida a terzi alcune operazioni di trattamento [vedi nota 1]

Spesso capita che i designati responsabili esterni al trattamento[vedi nota 2]  si rifiutino di accettare l’incarico, mettendo in difficoltà le aziende, che si trovano quindi costrette ad un bivio: o l’incorrere in pesanti sanzioni o a chiudere rapporti rescindendo contratti, magari consolidati da anni. 

Vediamo alcuni esempi di responsabili esterni al trattamento:

• Il commercialista, al quale vengono affidati i trattamenti relativi alla gestione fiscale e contabile. Solitamente sono presenti i nomi e i cognomi dei referenti presso le aziende clienti / fornitrici 
• Il consulente del lavoro, al quale viene affidato il trattamento di elaborazione delle buste paga dei dipendenti. Il trattamento contiene sempre dati particolari (ex sensibili)
• Il Medico competente, al quale viene affidato il trattamento di gestione della salute dei lavoratori, la salute è per definizione un dato particolare. 
• L’RSPP, al quale viene affidato il trattamento della gestione della sicurezza in ambiente di lavoro: scadenze della formazione, stato di salute, livello di formazione. 

Negli esempi riportati è evidente che: 

• il titolare del trattamento è l’impresa e non certo i consulenti. 
• I consulenti esterni trattano i dati in nome e per conto dell’impresa titolare del trattamento. (il trattamento è qualsiasi operazione o insieme di operazioni…)

Chiamiamo ora in aiuto l’Art, 28 comma 1:

Qualora un trattamento debba essere effettuato per conto del titolare del trattamento quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

Ma non solo, questi devono anche dare sufficienti garanzie… in modo tale che il trattamento soddisfi i requisiti del presente regolamento. 

E ancora l’Art. 28 Comma 3: 

I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. 

Nel Comma 9 del medesimo articolo si specifica che: 

Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.

Concludendo, consigliamo i responsabili esterni al trattamento di effettuare un’opportuna formazione specifica prima di accettare un incarico. Ricordiamo che la formazione per il responsabile esterno è obbligatoria. 

Davide Gallico

NOTA 1

Art. 4 comma 2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. 

NOTA 2

Art. 4 Comma 8) «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento