Il Responsabile del trattamento dati: chi è e quali sono i suoi doveri

Il Responsabile del Trattamento Dati, come definito dall’articolo 4, paragrafo 8 del Regolamento Generale sulla Protezione dei Dati (GDPR), è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”. Questa figura svolge un ruolo cruciale nel garantire la protezione dei dati personali e la conformità al GDPR.

Il Ruolo del Responsabile del Trattamento Dati

• Il responsabile del trattamento non decide autonomamente le finalità e i mezzi del trattamento dei dati, ma agisce esclusivamente su istruzioni documentate del titolare del trattamento.
• Le istruzioni del titolare del trattamento possono lasciare al responsabile un certo margine di manovra su come eseguire al meglio il trattamento, ma il responsabile non può discostarsi da tali istruzioni.
• Se il responsabile del trattamento definisce autonomamente finalità e mezzi del trattamento, diventa a tutti gli effetti un titolare del trattamento e può essere soggetto a sanzioni.
• Il responsabile del trattamento può essere un’organizzazione o un singolo individuo.
• I dipendenti del titolare del trattamento che trattano dati personali non sono considerati responsabili del trattamento, ma agiscono sotto l’autorità del titolare.

Obblighi del Responsabile del Trattamento

Il GDPR impone obblighi specifici ai responsabili del trattamento, tra cui:
• Garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
• Adottare tutte le misure di sicurezza richieste dall’articolo 32 del GDPR.
• Tenere un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento.
• Informare il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione dei dati personali.
• Assistere il titolare del trattamento nel garantire il rispetto degli obblighi derivanti dallo svolgimento di una valutazione d’impatto sulla protezione dei dati e dalla previa consultazione dell’autorità di controllo.
• Cancellare o restituire tutti i dati personali al titolare del trattamento al termine della sua attività, e cancellare le copie esistenti.
• Mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’articolo 28 del GDPR e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un soggetto da questi incaricato.

Il Contratto tra Titolare e Responsabile

Il rapporto tra titolare e responsabile del trattamento è disciplinato da un contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri.
• Tale contratto deve definire chiaramente la materia disciplinata, la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, tenendo conto dei compiti e delle responsabilità specifiche del responsabile del trattamento.
• Il contratto deve includere tutti gli elementi di cui all’articolo 28, paragrafo 3 del GDPR, in particolare le istruzioni sul trattamento dei dati e l’indicazione di tutte le misure di sicurezza tecniche e organizzative richieste.

Esempi di Responsabili del Trattamento Dati

Le fonti forniscono alcuni esempi di attività per le quali un titolare del trattamento potrebbe ricorrere a un responsabile:
• Servizi di hosting
• Analisi statistica per un compito di interesse pubblico
• Servizi di preparazione dei libri paga
• Servizi di distruzione di documentazione
• Servizi di controllo delle videocamere di sorveglianza
• Servizi di gestione della riscossione delle tasse
• Servizi di manutenzione dell’attrezzatura informatica

Sub-Responsabili del Trattamento

Un responsabile del trattamento può ricorrere a un altro responsabile del trattamento (sub-responsabile) solo previa autorizzazione scritta, specifica o generale, del titolare del trattamento.
• Anche in questo caso, deve essere stipulato un contratto che imponga i medesimi obblighi in materia di protezione dei dati che figurano in capo al responsabile del trattamento originario.
• Il titolare del trattamento mantiene un ruolo centrale nella determinazione della finalità e dei mezzi del trattamento, anche quando sono coinvolti sub-responsabili.

Conclusioni

La figura del responsabile del trattamento dati è fondamentale per garantire la conformità al GDPR. La corretta individuazione del ruolo di ciascun soggetto coinvolto in un’attività di trattamento dati è essenziale per la ripartizione delle responsabilità e per la tutela dei diritti degli interessati. Il titolare del trattamento ha la responsabilità di scegliere attentamente i propri responsabili e di supervisionarne l’operato per assicurarsi che il trattamento dei dati personali avvenga nel rispetto dei principi di liceità, correttezza e trasparenza. C2Compliance fornirà il supporto necessario alla corretta individuazione dei ruoli, il corretto contratto o atto giuridico che disciplini il rapporto privacy tra titolare e responsabile e una valutazione della compliance privacy dei responsabili strategici e/o critici.

Fonti citate:
garanteprivacy.it
commission.europa.eu