Come certamente noto, il responsabile del trattamento è il soggetto giuridico o fisico al quale il titolare del trattamento può delegare alcuni compiti, specificatamente indicati per iscritto (ex art. 4, comma 1, lettera g) e art. 29).
Nel 2001 il Garante aveva avuto modo di fugare un dubbio interpretativo (che comunque i principali interpreti avevano già chiarito), stabilendo che un Responsabile non può nominare a sua volta un altro Responsabile. L’Autorità in tale decisione scriveva che “è precluso ad un responsabile procedere, a sua volta, alla nomina di un altro responsabile: vi ostano le previsioni di cui agli artt. 4, comma 1, lett. g) e 29, comma 1 del Codice, che attribuiscono tale facoltà esclusivamente al titolare”.
La questione in oggetto è stata nuovamente affrontata dal Garante con il recente ed articolato provvedimento adottato in tema di Rfid, dove è indicata una strada da percorre nel caso in cui sia comunque necessario permettere al Responsabile di subappaltare alcune mansioni, come ad esempio quella manutentiva.
In proposito, il Garante afferma che il soggetto nominato quale responsabile del trattamento, nel caso in cui intenda avvalersi dell’opera di soggetti terzi (diversi dalle persone fisiche con cui potrebbe avere in essere un rapporto contrattuale e che conseguentemente devono venire nominate quali incaricati del trattamento), si dovrà impegnare ad informare il titolare del trattamento del fatto che intende avvalersi di terzi per l’esecuzione di alcune delle attività effettuate per conto del titolare e a sottoporre tale circostanza al previo accordo di quest’ultimo.
Acquisito l’assenso del titolare, il responsabile dovrà poi stipulare con i suoi subappaltatori un accordo scritto che imponga a questi ultimi il rispetto degli stessi obblighi a cui il responsabile stesso è vincolato in virtù della designazione quale responsabile del trattamento. Inoltre il responsabile dovrà inviare al titolare copia dei contratti conclusi con i propri subappaltatori, impegnandosi, a sua volta, a tenere un elenco aggiornato di tali contratti.
Aggiunge infine il Garante che per permettere al titolare di esercitare un effettivo controllo sui dati personali trattati per suo conto dal responsabile del trattamento, in caso di esternalizzazione a terzi di alcune delle attività, è necessario che il titolare sia a conoscenza delle principali modalità di esecuzione dei servizi resi da tali subappaltatori, quali le specifiche funzioni cui sono addetti e le tipologie di dati cui hanno accesso, nonché le procedure adottate per garantire la sicurezza dei dati trattati.
La soluzione esposta dal Garante nel summenzionato provvedimento di fine 2012 ci sembra ricalcare, seppur artatamente (viste le attuali limitazioni normative) la soluzione prevista dall’art. 22 della proposta di Regolamento europeo privacy, in base al quale un Responsabile del trattamento potrà nominare a suo volta un altro responsabile privacy.
Concludendo, nel caso in cui il responsabile debba avvalersi di un subappaltatore o potrà chiedere al titolare di nominare quale responsabile anche il subappaltatore, ovvero potrà seguire la strada tracciata dall’Autorità nel provvedimento di novembre 2012.
Scrivi un commento
Accedi per poter inserire un commento