Con regolare cadenza tutti i nodi vengono al pettine e il malinteso compito delle funzioni di adeguamento al regolamento e alla data Protection, della necessità della nomina per le P.A. e Aziende, come per le società di informatica, della necessità di consulenti giuridici in tema di protezione dei dati troppe P.A. e Società di servizi hanno e continuano a fraintendere. Aiutano alla confusione anche le gare pubblicate da grandi realtà, ad esempio come quella di Roma Capitale, che confonde nel proprio bando il servizio di Data Protection con quello di sicurezza informatica, e non fanno meglio in materia neanche le piccole realtà ad esempio come il Comune di Civitavecchia che replica la stessa antinomia.
Gioverebbe richiamare la normativa, fonte pare sconosciuta non solo ai tecnici della scienza dell’informazione ma anche a molta della classe burocratica degli Enti locali e così è utile ribadire che ciò che vale per il titolare, vale anche per i soggetti che, per contratto, sono designati dal titolare al trattamento.
Cosi non vi è ombra di dubbio che l’ermeneutica logica e letterale dell’art. 37 del Regolamento UE 2016/679 co. 1 chiaramente prevede che sia il titolare del trattamento che il responsabile del trattamento devono designare sistematicamente un responsabile della protezione dei dati ogni qualvolta il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico. Al comma 7, del medesimo articolo è, poi, previsto che il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo. Inoltre ai sensi dell’art. 28 del RGPD il soggetto (esterno) che tratta dati “per conto” di un altro soggetto deve redigere il contratto di nomina del responsabile esterno con le prescrizioni inderogabili previste dal GDPR.
Il responsabile esterno dovrà trattare i dati nel rispetto de principio di minimizzazione; nel rispetto dei diritti degli interessati alla portabilità; assicurare il diritto alla cancellazione e alla revoca. Inoltre il responsabile esterno deve impegnarsi a nominare e dovrà comunicare i dati del DPO Aziendale. Ai fini che qui interessa il GDPR fissa dettagliatamente le caratteristiche dell´atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al parag. 3 dell´art. 28 al fine di dimostrare che il responsabile fornisca “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento.
Il GDPR consente anche la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, parag. 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest´ultimo risponde dinanzi al titolare dell´inadempimento dell´eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l´evento dannoso “non gli è in alcun modo imputabile” (si veda art. 82, paragrafo 1 e paragrafo 3).
Il GDPR prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli dei rispettivi titolare tali obblighi riguardano, in particolare, la tenuta del registro dei trattamenti svolti (art. 30, parag. 2); l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (art. 32 regolamento); la designazione di un RPD-DPO ( linee-guida Gruppo “Articolo 29”). In materia poi occorre anche tenere conto dell’art. 28 della L. 20/112017, n. 167, art. 28 di modifica del D. Lgs. 30 giugno 2003 n. 196, al co. 4-bis, prevede che fermo restando quanto previsto ai co. 1, 2, 3 e 4, il titolare può avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualità di responsabili del trattamento, forniscano le garanzie di cui al co. 2 e che per il co. 5 il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma 4-bis e alle istruzioni impartite dal titolare.
Orbene posto che la nomina del responsabile alla protezione dei dati è tautologicamente rivolta alla protezione dei dati delle persone fisiche, oggetto finale e diretto della tutela quale bene giuridico e che la protezione dei dati è posta in capo al titolare il cui interesse riflesso, attiene all’esenzione del profilo di responsabilità risarcitoria per le ipotesi di violazione dei dati, in quanto il titolare, ai fini della tutela dei dati, è tenuto a predisporre tutte le misure tecnico-organizzative e normative conformi al GDPR, alla normativa nazionale ed Europea, ivi compresa la nomina del soggetto, in possesso di specifiche competenze, con funzioni di Responsabile alla protezione dei dati. Alla luce del quadro normativo di riferimento sarebbe davvero singolare che mentre il titolare è tenuto, per legge, a nominare un Responsabile alla protezione dei dati, a tale obbligo non sarebbe tenuto il responsabile esterno che come responsabile tratta, su base contrattuale, professionalmente e stabilmente, dati rilevanti che, quindi, resterebbero privi di controllo, consulenza e vigilanza una volta usciti fuori dalla sfera di influenza diretta del titolare.
Volume consigliato
Scrivi un commento
Accedi per poter inserire un commento