Gdpr : chi \u00e8 tenuto a fare cosa? Quali sono le responsabilit\u00e0?<\/p>\n
In molte organizzazioni \u00e8 stato nominato (sbagliando) il “responsabile privacy”, intendendo un collaboratore, spesso ma non sempre, un dirigente, che si occupasse di tutte le incombenze della normativa. In realt\u00e0, tale collaboratore, si configura semplicemente come un “designato privacy”<\/strong>, assumendo una responsabilit\u00e0 molto limitata e solo nei confronti del datore di lavoro, ne pi\u00f9 ne meno, come un incaricato al trattamento, oggi definito autorizzato al trattamento.<\/strong><\/p>\n L’incaricato al trattamento, oggi denominato “autorizzato al trattamento” \u00e8 la persona che tratta i dati per conto del titolare dei trattamenti, generalmente, all’interno della sua organizzazione, in qualit\u00e0 di collaboratore.<\/p>\n Deve ricevere una formazione di base che verta sulle principali regole e principi del GDPR e della protezione dei dati (art. 29).<\/p>\n L’autorizzato non \u00e8 considerato responsabile dall’ Autorit\u00e0 del Garante, che, in caso di inadempienza, si rivolger\u00e0 sempre e solo al titolare. Quindi in azienda si trova chi \u00e8 titolare dei dati e chi \u00e8 autorizzato a trattarli, in pratica, la sua “longa manus”.<\/p>\n Chi \u00e8, quindi il “vero” responsabile dei trattamenti o, in breve, il responsabile?<\/p>\n Si intende responsabile del trattamento<\/em><\/strong>, la persona fisica o l’entit\u00e0 giuridica che tratta i dati per conto del titolare dei trattamenti. Alcuni esempi, sono: il consulente paghe, l’istituto di formazione, il medico del lavoro, chi si occupa dell’assistenza sul gestionale, etc, generalmente, con una sua struttura giuridica e organizzativa, infatti, il termine pi\u00f9 corretto \u00e8: responsabile esterno<\/strong> del trattamento<\/strong>.<\/p>\n Il responsabile esterno deve essere conforme al GDPR e deve essere disponibile a qualsiasi verifica da parte del titolare di riferimento, spesso il suo cliente.<\/p>\n Le responsabilit\u00e0 sono simili a quelle del titolare. Deve esserci un atto formale di nomina e devono essere specificati trattamenti, finalit\u00e0 e misure di sicurezza. In caso di “data breach” (violazione o incidente che coinvolge i dati personali) viene chiamato a rispondere e deve seguire tutte le procedure previste, che includono: analisi della situazione, relazione al Garante (quando prevista), comunicazione ai soggetti interessati, etc.<\/p>\n Se il dato viene trattato da un\u2019entit\u00e0 esterna<\/em> per una finalit\u00e0 di business diretto, diverso da quello del titolare iniziale, ma complementare per il raggiungimento di una finalit\u00e0 condivisa, si configura il ruolo del “contitolare”<\/strong>. Per esempio, la banca che trasmette il dato del cliente alla societ\u00e0 assicurativa partner, definisce, con quest’ultima, una situazione di contitolarit\u00e0: in questo caso, la responsabilit\u00e0 \u00e8 divisa equamente tra i due soggetti, <\/em>a meno che, non sia stato redatto un documento che definisca i “perimetri” dei trattamenti e le rispettive obbligazioni. Ricordiamo, comunque, che il contratto di contitolarit\u00e0 \u00e8 disposto dal regolamento (art.26).<\/p>\n In tutti i casi il responsabile in primis resta sempre il titolare dei dati, al netto di eventuali rivalse, anche se, in realt\u00e0, una schiacciante prova di dolo da parte del responsabile esterno potrebbe far ricadere giustamente su quest’ultimo tutte le conseguenze di tipo sanzionatorio e risarcitorio.<\/p>\n