
IN MERITO ALL’INCARICO DI RESPONSABILE AL TRATTAMENTO.
Il GDPR 679/16 ha colto molte aziende impreparate e ha spaventato molti i soggetti interessati, più per non conoscenza della norma che altro.
VEDIAMO DI FARE UN PO’ CHIAREZZA.
Il titolare al trattamento dei dati, quando non può, o non vuole, trattare direttamente dei dati, affida a terzi alcune operazioni di trattamento [vedi nota 1]
Spesso capita che i designati responsabili esterni al trattamento[vedi nota 2] si rifiutino di accettare l’incarico, mettendo in difficoltà le aziende, che si trovano quindi costrette ad un bivio: o l’incorrere in pesanti sanzioni o a chiudere rapporti rescindendo contratti, magari consolidati da anni.
Vediamo alcuni esempi di responsabili esterni al trattamento:
- Il commercialista, al quale vengono affidati i trattamenti relativi alla gestione fiscale e contabile. Solitamente sono presenti i nomi e i cognomi dei referenti presso le aziende clienti / fornitrici
- Il consulente del lavoro, al quale viene affidato il trattamento di elaborazione delle buste paga dei dipendenti. Il trattamento contiene sempre dati particolari (ex sensibili)
- Il Medico competente, al quale viene affidato il trattamento di gestione della salute dei lavoratori, la salute è per definizione un dato particolare.
- L’RSPP, al quale viene affidato il trattamento della gestione della sicurezza in ambiente di lavoro: scadenze della formazione, stato di salute, livello di formazione.
Negli esempi riportati è evidente che:
- il titolare del trattamento è l’impresa e non certo i consulenti.
- I consulenti esterni trattano i dati in nome e per conto dell’impresa titolare del trattamento. (il trattamento è qualsiasi operazione o insieme di operazioni…)
Chiamiamo ora in aiuto l’Art, 28 comma 1:
Qualora un trattamento debba essere effettuato per conto del titolare del trattamento quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.
Ma non solo, questi devono anche dare sufficienti garanzie… in modo tale che il trattamento soddisfi i requisiti del presente regolamento.
E ancora l’Art. 28 Comma 3:
I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
Nel Comma 9 del medesimo articolo si specifica che:
Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.
Concludendo, consigliamo i responsabili esterni al trattamento di effettuare un’opportuna formazione specifica prima di accettare un incarico. Ricordiamo che la formazione per il responsabile esterno è obbligatoria.
Davide Gallico
NOTA 1
Art. 4 comma 2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
NOTA 2
Art. 4 Comma 8) «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento