Notizie

Il Responsabile Trattamento Dati secondo il Regolamento Europeo Privacy

Responsabile Trattamento Dati

Il Regolamento Europeo Privacy definisce "Responsabile del Trattamento" (Responsabile Privacy) ogni persona fisica, persona giuridica, autorità pubblica, agenzia o organismo che compia operazioni di trattamento di dati personali per conto di un determinato titolare del trattamento.

Secondo la definizione del Regolamento Europeo Privacy, dunque, il responsabile trattamento dati è quel soggetto a cui un titolare del trattamento affida in outsourcing un preciso trattamento di dati personali.

Il Titolare del Trattamento deve scegliere il responsabile trattamento dati tra soggetti in grado di garantire il pieno rispetto del regolamento europeo privacy, la completa tutela dei diritti dell'interessato e l’adozione di misure tecniche e organizzative idonee a proteggere i dati personali affidati.

Il Regolamento Privacy Europeo impone al titolare del trattamento e al responsabile trattamento dati di stipulare, prima dell’inizio delle attività di trattamento, uno specifico contratto di nomina che disciplini i seguenti ambiti:

  • oggetto e durata del trattamento
  • doveri e compiti del responsabile del trattamento
  • ambito e rischi del trattamento
  • natura e finalità del trattamento
  • modalità di svolgimento delle attività di trattamento
  • tipo di dati personali trattati
  • categorie di persone fisiche coinvolte
  • obblighi e i diritti del titolare del trattamento

Il contratto di nomina del responsabile del trattamento deve essere:

  • redatto per iscritto
  • in formato cartaceo o in alternativa in formato elettronico
  • sottoscritto da entrambe le parti
  • realizzato sulla base di una normativa europea o di un’altra legge di uno degli Stati Membri.

Con la sottoscrizione del contratto di nomina il responsabile trattamento dati deve impegnarsi a:

  • trattare dati personali soltanto su istruzione documentata del titolare del trattamento
  • garantire che le persone autorizzate al trattamento dei dati personali abbiano ricevuto una lettera di incarico con la quale si siano impegnate a rispettare gli obblighi di segretezza e riservatezza
  • adottare tutte le misure di sicurezza previste dal regolamento privacy europeo
  • rispettare tutte le condizioni previste dal Regolamento Europeo Privacy nel caso in cui si debba ricorrere a un responsabile del trattamento di secondo livello
  • assistere il titolare del trattamento con misure tecniche e organizzative adeguate a proteggere i dati personali
  • assistere il titolare del trattamento nel garantire il rispetto degli obblighi previsti dal Regolamento Europeo Privacy
  • cancellare o restituire tutti i dati personali al titolare del trattamento al termine della prestazione
  • mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dal Regolamento Europeo Privacy
  • collaborare alle attività di revisione, vigilanza e controllo realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato
  • informare immediatamente il titolare del trattamento qualora, a suo parere, un'istruzione violi delle disposizioni in materia di privacy

Nel caso in cui le attività di trattamento delegate al responsabile del trattamento siano particolarmente complesse o onerose, il titolare del trattamento può anche prevedere nell’atto di nomina, specifiche clausole contrattuali, che autorizzino il responsabile trattamento dati a delegare alcuni compiti o particolari attività di trattamento ad altri responsabili privacy di secondo livello.

Qualora il responsabile trattamento dati intenda avvalersi di altri soggetti per lo svolgimento delle operazioni di trattamento delegate, dovrà preventivamente comunicare al titolare del trattamento i nominativi dei soggetti di cui intende avvalersi al fine di permettergli di fare una valutazione di merito sul loro profilo ed eventualmente opporsi alla nomina.

Con il regolamento europeo privacy, la nomina del responsabile del trattamento diventa di fatto un effettivo negozio giuridico sinallagmatico tra titolare del trattamento e responsabile privacy, che genera obbligazioni e responsabilità reciproche in materia di protezione dei dati personali.

Il regolamento europeo privacy, specifica chiaramente che il responsabile trattamento dati può avere un ambito decisionale molto limitato sulle operazioni di trattamento e che non può svolgere alcun trattamento per conto del titolare del trattamento senza aver prima ricevuto precise istruzioni per il trattamento.

Nel caso in cui un responsabile trattamento dati non rispetti le clausole previste dal contratto di nomina o non si attenga alle istruzioni impartite per il trattamento e con il suo comportamento determini in maniera autonoma le finalità e gli strumenti utilizzati per il trattamento, assumerà di fatto il ruolo di titolare di trattamento.

Tale inadempimento generà, pertanto, una situazione di contitolarità, con la conseguenza che entrambi i soggetti saranno chiamati a rispondere in solido per gli eventuali danni cagionati agli interessati i cui dati sono stati oggetto delle attività di trattamento.

Dr. Eric Falzone – Privacy Compliance Advisor – Partner EUCS

ARTICOLI PRIVACY EUCS – www.eucs.it