GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/1883/01.jpg
lunedì 5 agosto 2024
di GDPRlab.it
L'articolo 28 del GDPR definisce il responsabile del trattamento e, soprattutto, delinea il rapporto tra questi, i sub responsabili e il titolare del trattamento. Qualche info
Per iniziare a definire il rapporto tra il titolare del trattamento e il responsabile , iniziamo con l'articolo 4.7 del GDPR che definisce il titolare come:
"la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali".
Il responsabile è definito dall'art 4.8:
“la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati per conto del titolare del trattamento”.
Resta che il responsabile del trattamento è figura che non è stata introdotta dal GDPR: era già presente nel nostro codice privacy D.lgs. 196/2003. Il GDPR però lo responsabilizza maggiormente rispetto alla gestione del trattamento dati.
L'articolo 28 porta ulteriori specifiche a quanto già indicato, rispetto alla figura del responsabile del trattamento, dall'art. 4 del Regolamento. Definisce anzitutto i requisiti soggettivi del responsabile del trattamento, che deve:
Il comma 3 dell'articolo 28 GDPR specifica che il responsabile del trattamento deve essere nominato dal Titolare del trattamento con atto scritto. Contratto o altra forma di atto giuridico, purchè questo vincoli il responsabile del trattamento al Titolare dello stesso. Il contratto dovrà:
"stipulare la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.
Non è nulla di diverso da quanto, fino ad oggi, in Italia siamo stati abituati a chiamare "nomina a responsabile esterno del trattamento".
Vediamo più in dettaglio quali previsioni deve contenere il contratto / atto giuridico che vincola reponsabile e titolare del trattamento. Il responsabile del trattamento deve
Oltre all'articolo 28, anche gli articoli da 32 a 36 impongono obblighi al responsabile. In dettaglio il responsabile deve assistere il titolare nel soddisfare gli obblighi in fatto di:
Il responsabile è quindi figura che ha grande rilievo nel definire caratteristiche e modalità del trattamento dati, a partire dalla valutazione del rischio fino a concludere con l'adozione delle misure adeguate. Ecco quindi che il responsabile, come viene chiarito sin dal 2010, ma il GDPR ribadisce il punto, non può che essere figura esterna, distinta e separata dall'organizzazione del titolare del trattamento.
L'articolo 28 GDPR prevede anche le figure dei cosiddetti sub-responsabili. Indica con la definizione di "altri responsabili" quei soggetti ai quali si rivolge il responsabile del trattamento quando abbia necessità di subaffidare, in parte o in tutto, un servizio con connesso trattamento dati del quale ha ricevuto incarico dal Titolare del trattamento.
La figura del sub responsabile nasce con il GDPR. Il nostro codice privacy, nella precedente formulazione, prevedeva infatti solo nomine dirette da parte del titolare. Una formulazione formale che chiudeva gli occhi di fronte ad un mercato più che concreto ed esistente. Con l'articolo 28 del GDPR questa realtà non viene più ignorata, anzi viene disciplinata.
Tutto origina dall'obbligo di autorizzazione preventiva.
“Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato.”
si legge nell'articolo 28.1.
Queste previsioni si riproducono, pari pari, in capo al responsabile del trattamento nel momento in cui decide di ricorrere ad un sub responsabile. Viene preservato così il potere di controllo.
Anche nel caso della nomina del sub responsabile, si richiede autorizzazione preventiva in forma scritta da parte del responsabile, con autorizzazione specifica o generale. Nel caso l'autorizzazione sia generale, il responsabile deve avvisare il titolare di ogni modifica nella catena del trattamento che preveda aggiunta / sostituzione di altri responsabili. Il Titolare ha diritto ad opporsi a queste modifiche.
Un caso concreto > GDPR e Marketing: il committente delle campagne risponde anche per le società terze
Chiudiamo con il tasto dolente. Quali responsabilità sono oneri del responsabile in caso di incidente? L' articolo 82 del GDPR, parla forte e chiaro. Il responsabile
“risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento”.
Il responsabile, in dettaglio, deve
Se il responsabile viola questi obblighi può incorrere in sanzione amministratia. Ne risponde proprio per violazione di un obbligo contrattuale. Qui è utile, prima di concludere, una specifica. L'obbligo di misure di sicurezza adeguate riguarda sia il titolare e sia il responsabile del trattamento. Un contratto non chiaro, che non dettagli i rapporti tra queste due figure, può creare difficoltà proprio nella distribuzione delle responsabilità. Ecco perchè è bene che tale punto sia ben definito.
giovedì 19 dicembre 2024
Leggi tutto...giovedì 19 dicembre 2024
Leggi tutto...
CONDIVIDI QUESTA PAGINA!