Come scegliere un responsabile del trattamento

Come scegliere un responsabile del trattamento? Innanzitutto forse è bene essere in grado di individuare tale categoria di soggetti che assumono tale ruolo, evitando ad esempio di inquadrare come responsabili del trattamento gli addetti alle pulizie. Le condizioni minime ed essenziali perché si possa qualificare un responsabile del trattamento consistono infatti:
(i) nell’essere un soggetto esterno e distinto rispetto al titolare;
(ii) nel trattare dati per conto del titolare secondo le istruzioni ricevute.

Tutto qui? Niente affatto. Il GDPR prevede infatti che una volta inquadrato chi può essere un responsabile del trattamento, il titolare deve valutare se questi è in grado di svolgere le attività di trattamento delegate nel rispetto del GDPR e dei diritti dell’interessato.

Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.
(art. 28.1 GDPR)

Il titolare deve di conseguenza garantire ed essere in grado di dimostrare sin dal momento della scelta l’adeguatezza del responsabile. In che modo? Andando a valutare che le garanzie presentate dallo stesso siano sufficienti. E chiedendone di ulteriori, se del caso.

Scegliere un responsabile del trattamento: garanzie sufficienti

Se nello scegliere un responsabile del trattamento le garanzie prestate hanno un ruolo fondamentale e determinante è indispensabile comprendere alcuni criteri, ad esempio per sapere quali sono e come valutarle. Altrimenti sarebbe un mero esercizio di stile che si andrebbe ad esaurire, come lo fa il più delle volte, con l’inserimento all’interno delle premesse della contrattualizzazione del rapporto di una formuletta del tipo:

Il titolare, valutato che il responsabile presenta garanzie sufficienti per svolgere le attività di trattamento per proprio conto…

senza però aver svolto alcuna valutazione a riguardo. In sostanza si va a garantire per qualcosa che non si è controllato. Il che significa assumersi un rischio evitabile e – in accordo alla legge di Murphy – porsi nelle migliori condizioni possibili per violare il GDPR dal momento che ci si affida a fortunate coincidenze. E se il responsabile viene scelto ad occhi chiusi, attenzione perché l’imprevisto e la sfiga ci vedono benissimo! L’aver individuato il responsabile più o meno con un approfondimento pari a quello di leggere di sfuggita il trafiletto del proprio oroscopo su una pagina di giornale inoltre non costituisce una condotta propriamente virtuosa.

come scegliere un responsabile del trattamento
Quanto volte si dimentica l’audit del responsabile?

Quali garanzie, dunque? Tutta la documentazione che può comprovare il rispetto degli obblighi del GDPR, la sicurezza dei trattamenti, l’esercizio dei diritti degli interessati. Buona prassi è la definizione di una lista di controlli da parte del titolare.

Come valutarle? I criteri di verifica, al di là del rispetto dei principi del GDPR, sono le conoscenze specialistiche, l’affidabilità e le risorse disponibili in relazione ai compiti assegnati da parte del titolare.

L’attività di audit del responsabile deve essere svolta nel momento del processo di selezione – e dunque: prima della scelta – dunque successivamente secondo cadenze che bisogna essere in grado di definire (ad. es. semestrali, annuali o biennali) sempre facendo riferimento al rischio dei trattamenti. Ed è questo il principale parametro di cui tenere conto per decidere se estendere o approfondire l’audit o altrimenti se aumentarne la frequenza.

Responsabile è chi responsabile fa

Attenzione infine ad un particolare: agire in qualità di responsabile del trattamento è una situazione di fatto a cui il GDPR collega gli adempimenti elencati all’interno dell’art. 28. E dal momento che tutti gli obblighi che riguardano il rapporto del titolare con il responsabile del trattamento sono permanenti, ciò significa che sono richiamati per effetto dello svolgimento delle attività sui dati personali.

Nessun carpiato giuridico può escludere o creare tale ruolo. Alcuni esempi fallimentari a riguardo possono essere:
(i) sostenere che i consulenti del lavoro siano contitolari del trattamento insieme all’organizzazione per le attività svolte sui lavoratori;
(ii) ritenere il medico del lavoro un responsabile del trattamento per l’attività di sorveglianza sanitaria.

Entrambe le costruzioni sono state demolite da due chiarimenti a riguardo da parte del Garante Privacy. Il consulente del lavoro ha infatti il ruolo di responsabile del trattamento nella gestione degli adempimenti affidati dalla legge e dalle istruzioni del titolare, mentre il medico del lavoro ha una titolarità autonoma nello svolgimento della sorveglianza sanitaria.

La privacy spiegata bene e fatta meglio. Artigianale. A misura d’uomo.

Servizi

DAL BLOG