Chi è il Responsabile del trattamento dei dati personali?

Sempre più spesso, le imprese si trovano nella necessità di affidare alcune funzioni aziendali a terzi, il che implica il trattamento dei dati personali "per conto" del titolare. All'interno di queste dinamiche, sorgono dei dubbi riguardo alla qualifica dei rapporti privacy con figure come commercialisti, consulenti del lavoro, RSPP, medici competenti, Collegi Sindacali e Data Protection Officer al momento della stipula dei contratti. L'obiettivo di questo articolo è quello di fornire alle aziende una guida pratica per determinare correttamente la natura di tali rapporti, al fine di prevenire sanzioni e responsabilità.

Uno degli aspetti significativi introdotti dal GDPR riguarda il "Responsabile del trattamento", definito come colui che tratta dati personali per conto del titolare. Il GDPR stabilisce che il titolare debba avvalersi di Responsabili che soddisfino specifiche garanzie tecniche e organizzative per garantire la tutela dei diritti dell'interessato.

Il Responsabile, per coinvolgere altri soggetti nello svolgimento del trattamento dei dati per conto del titolare, deve ottenere l'approvazione di quest'ultimo e regolare i rapporti attraverso un contratto scritto che delinei i dettagli dei trattamenti, la durata, il tipo di dati trattati, gli obblighi e i diritti del titolare.

Inoltre, il Responsabile deve operare solo seguendo istruzioni documentate del titolare, garantendo la riservatezza, adottando adeguate misure di sicurezza e fornendo assistenza in caso di richieste o violazioni dei dati. Al termine del contratto, il Responsabile deve eliminare i dati trattati per conto del titolare.

Tutto ciò risulta regolato in maniera puntuale dal GDPR per assicurare che l'esternalizzazione dei trattamenti avvenga con controlli rigorosi e garanzie per gli interessati. In precedenza, il Codice della Privacy prevedeva il Responsabile come figura opzionale, con meno dettagli rispetto al GDPR. Negli ultimi anni, si è verificata una diffusa confusione applicativa riguardo alla figura del Responsabile, con nomine "ad abundantiam" di fornitori come Responsabili senza rispettare i requisiti stabiliti dall'art. 28 del GDPR.

Questo approccio non rappresenta un'effettiva tutela dei soggetti coinvolti e potrebbe generare ambiguità nelle dinamiche legali. La corretta interpretazione e applicazione delle normative in materia di trattamento dei dati personali è essenziale per garantire la protezione di dati sensibili e l'adempimento degli obblighi legali da parte delle aziende e dei loro collaboratori esterni.

Le Linee Guida 07/2020 del EDPB offrono supporto nell'interpretare e applicare il ruolo del Responsabile ai sensi del GDPR. Tramite esempi pratici, si spiega quando è necessario nominare un Responsabile e quando invece si è autonomi o co-titolari. Ad esempio, l'aggiornamento di hardware o software non richiede la nomina di un Responsabile, ma l'outsourcing di sistemi IT sì.

La promozione commerciale non giustifica di per sé la nomina, mentre la cessione di un database per il telemarketing sì. La divisione tra titolarità autonoma e responsabilità è chiave per gestire correttamente i dati personali, inclusi dati sensibili o giudiziari.

Per avvocati, l'attività legale non richiede la nomina, ma la consulenza sì se comporta l'esternalizzazione di un trattamento completo. Anche per commercialisti, si applica lo stesso principio. Sindaci e revisori svolgono funzioni autonome.

Il Garante ha richiesto la nomina di Responsabile per consulenti del lavoro nell'elaborazione dei cedolini paga aziendali. La massima tutela dei dati e dei diritti è il principio guida. Nel settore della salute e sicurezza, RSPP e RLS possono richiedere la nomina a seconda del trattamento dati.

Medici competenti hanno un rapporto esclusivo con i lavoratori, configurandosi come titolari autonomi. L'ODV fa parte dell'organizzazione aziendale, mentre il Responsabile Whistleblowing svolge un ruolo simile. Il RPD o DPO deve essere trattato diversamente rispetto ai Responsabili, con un accordo apposito.

La corretta qualificazione legale evita nomine ingiustificate e responsabilità giuridiche. È importante valutare attentamente i rapporti per garantire la protezione dei dati. L'outsourcing non deve compromettere la sicurezza dei dati personali.