Smentita del Garante su rinvii entrata in vigore del GDPR - LEGGI QUI
Mondo-Privacy-Blog-Responsabile-Trattamento-Dati

Regolamento Europeo: art. 28 il responsabile del trattamento

Succede spesso che un’azienda si trovi a gestire dei dati personali attraverso più Responsabili. Ipotizziamo, ad esempio, un’azienda che raccolga le e-mail dei suoi clienti (persone fisiche) per poter inviare loro comunicazioni commerciali.

Trattamento dati: le informazioni del cliente in mano a soggetti diversi

Una situazione tipica che potrebbe verificarsi è che il cliente (l’interessato) affida i suoi dati all’azienda (titolare del trattamento), la quale affida l’invio delle mail di marketing ad un’azienda di comunicazione (Responsabile Esterno 1). Quest’ultima per l’invio delle mail potrebbe utilizzare un software di mail marketing professionale, creato da una software house esterna (Responsabile Esterno 2), la quale, a sua volta, per l’invio massivo di mail, utilizza server ospitati in appositi data center (Responsabile Esterno 3).

Questa situazione comporta che il dato dell’interessato è potenzialmente conosciuto, per motivi d’uso o per manutenzione, da una serie di soggetti giuridici diversi (per non parlare delle persone fisiche – amministratori di Sistema che hanno password di manutenzione sulla consolle di mail o sui server …)

Con il vecchio D.Lgs. 196/2003, in capo al Titolare, vi era l’obbligo di vigilare sui Responsabili affinché si attenessero a delle regole ben definite. Tale obbligo, a fronte di gestione di servizi complessi come quello di esempio, con più gradi di subappalto, era di difficile attuazione per il Titolare che, spesso, non aveva alcun rapporto con l’ultimo dei responsabili che gestivano i dati, tantomeno un controllo.

L’art. 28 del Regolamento Europeo illustra la figura del “Responsabile del Trattamento” e introduce una nuova gestione della catena delle responsabilità quando vi sono più Responsabili coinvolti nella gestione dei dati, situazione tipica in presenza di appalti e subappalti.

L’art. 28, nel bene e nel male, chiarisce definitivamente le questioni

Primo punto: la catena dei Responsabili deve essere nota al Titolare, infatti:

Comma2: Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

Questo articolo, pertanto, permette la generica gestione di subappaltatori che possono essere nominati Responsabili al trattamento dei dati per quanto di loro competenza ma richiede che questi soggetti siano tutti comunicati al Titolare che li deve approvare.

Secondo punto: Il primo Responsabile a cui sono affidati i dati, può ricorrere ad altri Responsabili ma solo attraverso la stipula di un contratto che contenga le istruzioni che a sua volta il primo Responsabile ha avuto dal Titolare. Se i soggetti della catena sotto di lui commettono errori nella gestione del dato il Responsabile è chiamato a risponderne.

Comma 4. Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

Questo punto specifica quindi che è possibile definire per contratto le responsabilità affidate ai vari Responsabili, indicando chiaramente chi è responsabile di cosa nella gestione delle attività inerenti la privacy.

La soluzione per l’azienda che invia email commerciali

L’azienda del nostro esempio potrà limitarsi a stipulare un buon contratto con l’agenzia di comunicazione, specificando, per iscritto, le regole di comportamento, le modalità di gestione dei dati, le penali economiche, le responsabilità in ambito privacy.

Potrà richiedere l’elenco degli Amministratori di Sistema coinvolti così come richiedere valutazioni dei rischi e misure di sicurezza adeguate. Una volta definite queste clausole di responsabilità, l’agenzia di comunicazione potrà avvalersi di altri subappalti, a patto di comunicare all’azienda chi sono i soggetti a cui intende subappaltare parte del servizio (ricevendo dall’azienda un consenso esplicito sul punto) e riportando nei contratti con i subappaltatori le stesse condizioni che ha sottoscritto con l’azienda mandataria.

Gianluca

About Gianluca

Oltre 16 anni di esperienza nel settore, costanti aggiornamenti e una vera e propria passione. Seguo i miei clienti passo dopo passo e accetto ogni nuova sfida con entusiasmo e grinta. A disposizione per chiarire i vostri dubbi su questo e altri argomenti!