Da diversi anni a questa parte, è diventata molto familiare la terminologia che ruota attorno al Regolamento Europeo per la Protezione dei Dati Personali, ossia il GDPR. Ci sono tante espressione che, anche chi non ha a che fare con la Data Protection, ha sentito almeno una volta. Tra le tante, spicca “responsabile del trattamento dei dati”. Quando la si chiama in causa, è necessario, approfondire alcuni aspetti tecnici. Scopriamo quali nelle prossime righe di questo articolo.
Responsabile del trattamento dei dati: ecco cosa sapere
In merito al responsabile del trattamento dei dati, è doveroso sapere che si tratta di una figura che non è stata introdotta con il GDPR. Chi non lavora nell’ambito della Data Protection, forse non sa che di responsabile del trattamento dei dati si parlava fin dai tempi del Codice della Privacy, entrato in vigore nel “lontano” 2004 – una vera e propria era geologica se si pensa all’attuale necessità di gestire i dati anche nell’ottica dei mezzi digitali.
La differenza rispetto ad allora è sostanziale. Sulla base delle linee guida del GDPR, infatti, il responsabile del trattamento dei dati deve essere designato dal titolare e la sua nomina non ha più mero carattere facoltativo.La figura a cui stiamo dedicando questo articolo, è inoltre, oggi come oggi, tenuta, quando il Regolamento Europeo lo prevede, a nominare un DPO.
I rapporti con il titolare del trattamento
Per inquadrare nel migliore dei modi la situazione normativa attuale per quanto riguarda il responsabile del trattamento dei dati personali, è cruciale soffermarsi sul suo rapporto con il titolare degli stessi.
Fondamentale a tal proposito è il contratto, che deve essere caratterizzato dalla presenza di specifici punti. Innanzitutto, è necessario che il responsabile del trattamento dei dati personali agisca solo a seguito di un’istruzione documentata da parte del titolare.Compito del responsabile del trattamento dei dati – da contrattualizzare, non dimentichiamolo – è il fatto di vigilare affinché le persone, sia interne sia esterne all’azienda, autorizzate al trattamento dei dati siano sufficientemente riservate e siano vincolate ad esserlo da determinati obblighi legali.
Altri obblighi
Si potrebbe andare avanti ancora molto a elencare gli obblighi del responsabile del trattamento dei dati. Oltre a quelli appena ricordati, rientra anche la conservazione della documentazione relativa ai trattamenti (ovviamente parliamo di quelli che sono stati gestiti sotto la sua responsabilità).
Il sub-responsabile
Il GDPR ha rappresentano un punto di rottura con il Codice della Privacy anche per un altro motivo. Quale di preciso? La possibilità, per il responsabile del trattamento dei dati, di designare un ulteriore responsabile, ossia il sub-responsabile.In questi frangenti, la cosa si può concludere solo se è presente un’espressa autorizzazione da parte del titolare del trattamento dei dati personali. Nei casi in cui avviene la designazione di un sub-responsabile, della sua condotta in ambito Data Protection risponde il responsabile principale al titolare del trattamento dei dati.
I dettagli del contratto
Nelle righe precedenti abbiamo parlato del contratto di designazione del responsabile del trattamento dei dati. Essenziale è che il suddetto documento sia caratterizzato da quella che gli esperti chiamano clausola di successione nel tempo delle leggi. In questo modo, è possibile garantire la compliance della figura a cui stiamo dedicando questo articolo alle linee guida che, di volta in volta, il legislatore mette in primo piano.
Per comprendere il valore di quanto appena detto basta richiamare il paragone tra GDPR e Codice della Privacy, nodale per rendersi conto di come siano cambiati gli obblighi del responsabile del trattamento dei dati personali. Se il contratto è ben strutturato, l’arrivo di nuovi impegni per il responsabile è più agevole da gestire e, in generale, è possibile limitare l’impatto di eventuali situazioni problematiche.