Con il GDPR nasce la figura del Responsabile del Trattamento. Che tipo di figura è? Quale contratto? Risorsa interna o ente esterno?
Il General Data Protection Regulation (leggi anche «GDPR, la nuova norma per la privacy online: una nota introduttiva») ha introdotto la figura del Responsabile del trattamento, ovvero quella persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del Titolare del trattamento.
Si tratta di un soggetto, distinto dal titolare, che deve essere in grado di fornire garanzie per assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato. Il Responsabile del trattamento dovrà avere una competenza qualificata, dovendo garantire una conoscenza specialistica della materia, e l’attuazione delle misure tecniche e organizzative in grado di soddisfare i requisiti stabilitl dal regolamento europeo, oltre ad essere affidabile e a disporre delle risorse tecniche adeguate per l’attuazione degli obblighi derivanti dal contratto di designazione e dalle norme in materia.
È opportuno evidenziare che questo ruolo è chiaramente riservato ad un soggetto esterno all’azienda: vi è uno specifico obbligo di predisporre un contratto per la designazione delle responsabilità a carico del responsabile.
Il titolare del trattamento può scegliere se avvalersi o meno dell’esternalizzazione del servizio di trattamento dei dati, ma una volta optato per tale soluzione non può fare a meno di nominare il soggetto in questione quale responsabile del trattamento.
In base all’art. 28 del nuovo Regolamento, la nomina deve avvenire tramite contratto o altro «atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento».
Con il contratto il titolare delega al responsabile la concreta gestione del trattamento, affidandogli uno o più compiti specifici oppure una serie di compiti dettagliati in generale. Il Responsabile a sua volta può nominare responsabili di secondo livello, a meno che non sia vietato dalle istruzioni del titolare. È comunque il Responsabile principale a rispondere dell’operato degli altri da lui nominati, di fronte al titolare del trattamento.
Il Titolare del trattamento rimane, a sua volta, responsabile della gestione effettuata dai responsabili, dovendo garantire che le loro decisioni siano conformi alle leggi, e in particolare il titolare deve scegliere responsabili del trattamento che offrano garanzie sufficiente ed adeguate nell’adozione di idonee misure tecniche e organizzative volte alla protezione dei dati personali.