Consulenza Privacy: Nomina dei Responsabili del Trattamento

Lo studio di Consulenza Privacy, nella stesura del Sistema di Gestione Privacy, provvederà alla stesura delle lettere di nomina dei Responsabili di Trattamento seguendo ogni azienda nel lungo percorso di adeguamento alla conformità alla normativa del Regolamento europeo per la tutela dei dati personali (GDPR) e al Decreto Legislativo 101/2018.

Nomina dei responsabili esterni del trattamento (obbligatoria)

La nomina dei responsabili esterni del trattamento dati è sicuramente uno degli adempimenti più complessi e articolati, ma al tempo stesso molto importante soprattutto per liberi professionisti, artigiani, studi professionali, attività e PMI.

La normativa privacy infatti, richiede che l’azienda non si limiti a preoccuparsi solamente della rispondenza alle norme dei trattamenti che vengono effettuati direttamente sotto la propria gestione, bensì anche che agisca per fare in modo che sia assicurato il rispetto della normativa anche sui trattamenti di dati personali affidati all’esterno della struttura del titolare.

A tal fine, risulta necessario prevedere la nomina a responsabile esterno del soggetto che ha in affidamento i dati, con l’obbligo di effettuare nei suoi confronti un adeguato controllo sull’effettiva applicazione da parte sua della normativa. Oppure occorre prevedere la regolamentazione contrattuale delle incombenze derivanti dal nuovo Codice privacy, attraverso delle clausole che impegnino il soggetto cui sono affidati i dati al rispetto della normativa privacy.

Le attività necessarie per la nomina

Le attività necessarie, invece, per la nomina dei responsabili esterni (obbligatorie come prevede il GDPR) sono:

  1. individuazione dei soggetti esterni che trattano dati personali di cui è titolare l’azienda;
  2. la valutazione, per ognuno dei soggetti esterni sopraccitati, della necessità od opportunità di procedere alla nomina a responsabile o di considerarlo a sua volta titolare;
  3. la gestione contrattuale delle responsabilità derivanti dall’applicazione della normativa privacy, in particolare sull’applicazione delle misure minime di sicurezza e sulla presentazione delle informative e ottenimento del consenso nei casi in cui è necessario.

Nomina dei responsabili interni del trattamento (facoltativa)

La legge e le norme suggeriscono (nomina facoltativa), l’individuazione e nomina di una o più persone all’interno dell’azienda come “Responsabili” dei trattamenti a fini privacy. La nomina deve essere effettuata per iscritto ed è subordinata all’accettazione da parte del nominato.

Infatti il Considerando 81, dispone: “… quando affida delle attività di trattamento a un responsabile del trattamento il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento … al termine del rapporto o del trattamento, dovrà restituire i dati personali ricevuti o provvedere alla loro cancellazione, salvo che il diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento prescriva la conservazione dei dati personali”.

Pertanto appare chiaro che il ruolo del Responsabile del trattamento di cui all’art. 28 del Regolamento europeo è riservato ad un soggetto esterno all’ente (ad esempio i fornitori). Non potendo sussistere infatti, per definizione, alcun flusso di dati personali dal titolare verso i propri dipendenti (che compongono quell’assetto organizzativo deputato al trattamento dei dati nell’ambito dello svolgimento delle funzioni dell’ente pubblico), che agiscono sotto l’autorità del Titolare, flusso che, al contrario, caratterizza il rapporto di quest’ultimo con il Responsabile. Non potendosi assumere in capo ai dipendenti dell’ente stesso, pur con responsabilità dirigenziali, quei profili di conoscenza specialistica, affidabilità e disponibilità di risorse per mettere in atto adeguate misure tecniche ed organizzative, ed in definitiva di autonomia gestionale che caratterizzano la figura del Responsabile del trattamento, il quale assume responsabilità proprie nei confronti degli interessati, e ne risponde all’autorità di controllo ed alla magistratura.

Ovviamente il Titolare del trattamento può attribuire incarichi interni designando per specifici compiti e funzioni connessi al trattamento dei dati personali, sia le figure apicali che i funzionari della propria struttura organizzativa. (art. 2 quaterdecies Codice privacy); tuttavia la responsabilità del trattamento resta in capo al Titolare stesso, e del Responsabile esterno eventualmente nominato.

Le attività necessarie per la nomina

Le attività necessarie per la nomina dei responsabili interni (nomine facoltative che però hanno una influenza sul grado di accountability) che il nostro studio di Consulenza Privacy attua sono:

  1. individuazione dei responsabili da nominare;
  2. definizione dell’ambito di responsabilità del personale nominato.

Contattaci per richiedere un appuntamento o per approfondire maggiormente i nostri servizi di consulenza

  • Formazione e Aggiornamento del Personale
  • Attività di Consulenza Privacy e assistenza annuale
  • Consulenza per Casi Particolari (ricorsi, segnalazioni...)
  • Modello Organizzativo della Privacy
  • Nomine di Responsabile del Trattamento dei Dati
  • Redazione delle Informative sul Trattamento dei Dati
  • Redazione dei Registri delle Attività dei Trattamenti
  • Regolamento per l'utilizzo dei Dispositivi Informatici
  • Ricopriamo il ruolo di Responsabile della Protezione Dati
  • Valutazione d'Impatto sulla Protezione dei Dati
  • Verifica della Conformità del Sito Web e Cookies Policy
  • Consulenza su Videosorveglianza e Geolocalizzazione
 

Consulenza per la Certificazione ISO dei Sistemi di Gestione Aziendali – Studio Rabaioli