5/10 Ho designato le figure-chiave di responsabile e incaricati?
di Luigi Fruscione e Benedetto Santacroce
Titolare, responsabile, incaricato e Dpo: sono queste le figure che possono comporre l’organigramma privacy delle aziende. In particolare, qualora il titolare ritenga di dover nominare un responsabile del trattamento dati occorre che questi lo designi attraverso un contratto (o altro atto giuridico conforme al diritto nazionale) con cui si vadano a disciplinare tassativamente le tematiche riportate al paragrafo 3 dell’articolo 28 del Gdpr. Tra queste, ad esempio, che il responsabile garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza; garantisca il titolare per il rispetto delle misure relative alla sicurezza del trattamento (articolo 32), alla valutazione d’impatto (articolo 35) e alla comunicazione all’interessato di una violazione dei dati personali (articolo 34).
L’atto che lega il responsabile al titolare del trattamento deve obbligatoriamente far riferimento ai seguenti aspetti: la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
Occorre segnalare che qualora il responsabile designato intenda nominare, a sua volta, un sub-responsabile avrà bisogno di una autorizzazione scritta, specifica o generale, del titolare del trattamento; qualora si ottenga un’autorizzazione scritta generale, il responsabile del trattamento avrà l’onere di informare il titolare di eventuali modifiche riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare la possibilità di opporsi.
In caso di nomina di un sub-responsabile occorre che il responsabile originario gli imponga, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati gravanti su di lui.
Sul punto l’Autorità Garante ha rilevato che «i titolari del trattamento dovrebbero verificare che i contratti o altri atti giuridici che attualmente disciplinano i rapporti con i rispettivi responsabili siano conformi a quanto previsto, in particolare, dall’articolo 28, paragrafo 3, del Gdpr. Dovranno essere apportate le necessarie integrazioni o modifiche, in particolare qualora si intendano designare sub-responsabili».
Figura particolarmente importante nell’organigramma privacy è quella che nell’ancora vigente Codice privacy è denominata «incaricato al trattamento dati» che nel Gdpr viene qualificata quale «persona autorizzata al trattamento dei dati personali» permanendo nella sostanza una identità di ruoli e modalità di nomina.
Sul punto la stessa Autorità Garante ha stabilito che l’organizzazione degli incaricati può permanere immutata.
© Riproduzione riservata