Il responsabile del Trattamento (interno od esterno), caratteristiche.
Per poter analizzare la figura del responsabile esterno del trattamento è inizialmente necessaria una definizione generale della figura del “responsabile del trattamento”; che, come vedremo, può essere interno od esterno.
Esso è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento (art. 4, par. 1, n. 8 GDPR).
Si tratta di un soggetto, distinto dal titolare, che possieda le caratteristiche tecniche e l’organizzazione di mezzi necessarie per garantire il pieno rispetto delle disposizioni in materia di trattamento dei dati personali sancite dal GDPR, nonché di garantire la tutela dei diritti dell’interessato.
Tale figura viene nominata dal Titolare del Trattamento che, come detto, deve scegliere dei soggetti che presentino garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto le misure tecniche e organizzative che soddisfino i requisiti del Regolamento (Considerando 81 GDPR).
Il Titolare del Trattamento è responsabile per l’operato dei soggetti prescelti, dunque la scelta dovrà essere ponderata ed effettuata in maniera conforme a quanto sancito dal GDPR.
Il Responsabile del Trattamento sarà interno se soggetto rientrante nell’organigramma del Titolare del Trattamento od esterno se si tratta di Soggetto che non rientri nell’organigramma del Titolare del Trattamento.
Il Responsabile Esterno del Trattamento.
Come detto, se non figura all’interno dell’organigramma del Titolare del Trattamento il responsabile viene denominato come “Esterno”.
Ma perché il Titolare del Trattamento dovrebbe nominare un figura esterna anziché una interna sottoposta al suo diretto controllo? La risposta a tale quesito è semplice: per poter effettuare taluni trattamenti dei dati sono necessarie delle figure specializzate che non sono presenti all’interno dell’organigramma aziendale. Si pensi al commercialista, che si occupa degli adempimenti fiscali di ogni società: può capitare che tale figura tratti anche dati di persone fisiche (clienti, fornitori o chi per loro del Titolare del Trattamento). Ebbene una società non può fare a meno di una figura come il commercialista e, dunque, dovrà, secondo quanto sancito dal GDPR, obbligatoriamente nominarlo quale suo responsabile esterno, così da non i-ncorrere a sanzioni in caso di controlli. Medesimo discorso varrà per l’Avvocato, che nel gestire una causa o la contrattualistica societaria sicuramente accede a dati di persone fisiche facenti parte dell’organizzazione aziendale del Titolare del Trattamento: dovrà essere predisposta apposita nomina a responsabile esterno.
Quanto affermato vale per qualsiasi figura esterna a cui si appoggi una società per svolgere la propria attività.
La responsabilità del Titolare del Trattamento per l’operato del Responsabile Esterno del Trattamento.
Come detto in precedenza, il Titolare del Trattamento è responsabile per l’operato del Responsabile del Trattamento, interno od esterno che sia.
Vi sono, però, necessariamente delle differenze per quanto attiene al responsabile esterno.
Nella scelta del Responsabile Esterno il Titolare del Trattamento deve valutare attentamente che il soggetto prescelto possegga i requisiti tecnici, di conoscenze specialistiche e di affidabilità per trattare i dati che gli verranno affidati. In caso di scelta di un soggetto che sia palesemente inaffidabile o comunque non adeguato per assolvere diligentemente a tutti gli obblighi derivanti da quanto sancito dal GDPR, vi sarà la responsabilità anche dello stesso Titolare che ha effettuato la scelta.
Cosa accade, però, quando il Responsabile Esterno prescelto possiede tutti i requisiti necessari, ma vi è comunque una violazione della normativa e dei diritti degli Interessati da parte di quest’ultimo? In tal caso, se è stata predisposta un’apposita nomina, in cui si comunica al Responsabile Esterno l’obbligo di adottare misure tecniche ed organizzative adeguate alla natura del trattamento e, se il Titolare ha effettuato dei controlli in ordine al rispetto degli obblighi imposti tramite la citata nomina, quest’ultimo non dovrebbe incorrere in alcuna responsabilità, avendo assolto ai doveri che sono imposti dal GDPR.
Conclusioni
Il Responsabile Esterno del Trattamento è una figura indispensabile in quanto ogni impresa, piccola o grande che sia, si avvale di figure specialistiche che la coadiuvano a svolgere la propria attività. Tali figure dovranno essere appositamente scelte dal Titolare del Trattamento, che dovrà fare una valutazione in merito all’adeguatezza del soggetto prescelto. Una volta effettuata tale valutazione, sarà fondamentale predisporre una nomina adeguata, dalla quale si possano riscontrare le valutazioni effettuate dal Titolare e gli obblighi imposti al Responsabile Esterno, così da avere la maggiore tutela possibile per il Titolare del Trattamento in caso di mancanze del Responsabile Esterno.