Quali sono i compiti del Responsabile del Trattamento dei dati personali, in base al GDPR? Trasparenza, sicurezza dei dati e obbligo di consigliare il Titolare
Ti abbiamo già spiegato qual è la figura del Responsabile del Trattamento, così come definita dal GDPR. È bene conoscere anche quali siano i suoi compiti principali.
Obblighi di trasparenza
Occorre contrattualizzare il rapporto tra Titolare e Responsabile, specificando gli obblighi e i limiti del trattamento dati.
Il Responsabile riceverà, tramite l’atto giuridico (cioè per iscritto), tutte le istruzioni in merito ai trattamenti operati per conto del titolare, cui dovrà attenersi.
Inoltre il Responsabile del trattamento dovrà mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi che gli impone l’articolo 28 del Regolamento, e dovrà tenere il registro dei trattamenti svolti (ex art. 30, paragrafo 2, del Regolamento Generale).
Sicurezza dei dati
Deve adottare tutte le misure di sicurezza adeguate al rischio (art. 32 Regolamento), tra le quali anche le misure di attuazione dei principi di privacy by design e by default.
Dovrà garantire la riservatezza, vincolando i dipendenti.
Dovrà informare il titolare delle violazioni avvenute.
Dovrà occuparsi della cancellazione dei dati alla fine del trattamento.
Sia il Titolare del trattamento che il Responsabile sono tenuti ad attuare le misure tecniche ed organizzative tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Si tratta di specifici requisiti previsti dal GDPR, che indica alcune misure di sicurezza utili per ridurre i rischi del trattamento, quali:
1. la pseudonimizzazione e la cifratura dei dati personali, la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
2. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
3. una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Obbligo di avvisare, assistere e consigliare il titolare
Dovrà consentire e contribuire alle attività di revisione, comprese le ispezioni (o audit), realizzate dal titolare del trattamento, dovrà avvisare il titolare se ritiene che un’istruzione ricevuta viola qualche norma in materia, dovrà prestare assistenza al titolare per l’evasione delle richieste degli interessati.