GDPR e Responsabile del Trattamento
Ormai lo abbiamo imparato tutti: il titolare del trattamento deve nominare responsabile del trattamento – con atto idoneo e che sia giuridicamente vincolante – il soggetto che gli fornisce servizi che comportano il trattamento di dati personali, anche in via incidentale e solo a scopi tecnici.
Il GDPR non parla di una vera e propria “nomina” ma si limita a stabilire che i trattamenti del responsabile devono essere disciplinati da un atto vincolante con determinati contenuti minimi.
E se la nomina non viene firmata?
La mancata sottoscrizione dell’accordo non esonera i destinatari dai compiti e dalle responsabilità conseguenti alla loro qualifica. Quindi di fatto come responsabili del trattamento di dati personali.
Il responsabile del trattamento è infatti tale in virtù dello
“svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare un soggetto particolarmente qualificato allo svolgimento delle stesse (in termini di conoscenze specialistiche, di affidabilità, di struttura posta a disposizione) delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare”
Gli imprenditori e i loro fornitori e consulenti dovrebbero tenere a mente che la qualifica di responsabile del trattamento deriva direttamente dalle circostanze di fatto relative al rapporto tra le parti. E all’attività di trattamento di dati svolta. Non dalla stipula di un accordo scritto che, sebbene auspicabile, non fa altro che formalizzare una situazione già in essere.
E’, quindi, sbagliato ritenere che sia l’accordo di nomina ad attribuire il ruolo di responsabile del trattamento a un soggetto.
Se si trattano dati per conto e su delega altrui si è responsabili del trattamento a tutti gli effetti di legge.
A prescindere dall’esistenza e dalla correttezza formale di una nomina.
Cosa fare in caso di rifiuto alla nomina di responsabile del trattamento
Il rifiuto può avvenire perché il soggetto responsabile del trattamento non ritiene di svolgere per conto e su delega dell’azienda alcuna attività che comporti in modo sistematico trattamenti di dati.
Oppure, nell’ipotesi peggiore, perché il soggetto non vuole questa responsabilità.
Nel primo caso il titolare potrà giungere a una corretta individuazione dei rispettivi ruoli in modo da ottenere la firma della nomina.
Nella seconda ipotesi non ci sono possibilità di trovare un accordo in quanto si tratta di una pretesa contraria alle disposizioni normative inderogabili.
In caso di difficoltà a ottenere la nomina firmata è sempre consigliabile tenere traccia, anche per iscritto, di ogni fase della “trattativa” (corrispondenza e-mail, verbali degli incontri, bozze di accordo ecc.).
Questo è utile sia per tutelare l’operatività della propria azienda che necessita dei servizi erogati ma anche – e soprattutto – per poter dimostrare lo sforzo di adeguamento alle disposizioni del GDPR. Soprattuto dal punto di vista delle responsabilità.
Illustrare in modo chiaro le ragioni e i criteri che hanno portato a determinare la nomina a responsabile del trattamento è un modo semplice e corretto per ottenere il risultato.
Anche valutare insieme il contenuto della nomina può essere un buon metodo per ottenere la firma.
E’ possibile preparare uno schema di accordo con tutti gli elementi essenziali prescritti per legge, da completare con l’esatta indicazione:
- della durata, natura e finalità del trattamento
- del tipo di dati personali
- delle categorie di interessati
- degli obblighi e dei diritti del titolare del trattamento
- delle altre informazioni di cui al 3 dell’art. 28 del Regolamento
Se vuoi sapere se la tua azienda è conforme al Regolamento Europeo leggi gli articoli della Categoria GDPR.
Vuoi risolvere una tua questione legale o ricevere un parere sugli argomenti trattati? Prenota qui la tua consulenza.
Per tutti gli aggiornamenti segui #LexAroundMe
Lascia qui il tuo commento al blog e ai servizi di LexAround.me
#GDPR e #ResponsabiledelTrattamento #dati #Privacy #datipersonali #LexAroundMe Condividi il Tweet
Chi sono:
