Articolo 28 GDPR, il RESPONSABILE.

 

Esiste molta confusione sulla figura del responsabile nel regolamento 679. Certamente deriva dalla vecchia norma codicistica e dalla traduzione del Reg.

 

CI sono due scuole, chi è convinto che il Responsabile può essere tanto interno che esterno , e chi come me non ha tanto certezze su questa ambivalenza, ma sostiene comunque ( con qualche dubbio) che la figura è tendenzialmente esterna , o meglio può essere interna solo ed esclusivamente ad un gruppo d’imprese.

 

Partiamo dalla lettura dell’articolo 28 .

 

Nell’articolo 28 non c’è nessuna opzione riguardo la possibilità di nominare un responsabile interno od esterno come accade per il DPO, tuttavia questa “non esclusione” pur vista come un rafforzativo della tesi del responsabile interno diviene per la stessa assenza definitoria un valore neutro.

 

A ben vedere però più volte si parla di un contratto od altro atto giuridico tra il titolare ed il responsabile , riporto la parte iniziale del terzo paragrafo

 

“I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento …”

 

Sembra in effetti strano che un dipendente sia parte di un contratto autonomo ed aggiuntivo, anzi qualora fosse in ambito  pubblico l’iter sarebbe assurdo, autorizzazione e conferimento ex articolo 53 del 165/01 ( dopo avere espletato la ricognizione dell’articolo 7 ), diciamo che i sindacati ci sguazzerebbero, ancora di più se si utilizzasse per scrollarsi dal groppone qualche responsabilità l’istituto dell’articolo  17 comma 1 bis dello stesso 165/01.

 

Ma fin qui potrebbero ancora esserci problemi di traduzione.

 

Una risposta un momento più sensata e meno vacillante a mio avviso, arriva dalla lettura della norma sul DPO, l’articolo 37, in particolare il sesto paragrafo che recita

 

“ Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.”

 

Dalla lettura sembrerebbe chiaro che il responsabile sia esterno ( il dipendente del dipendente …).

 

A sostenere la tesi del responsabile esterno è anche l’autorevole Prof. Pizzetti, già Garante per la protezione dei dati personali, e soprattutto c’è conforto nella risposta al  seguente quesito mosso alla Commissione Europea :

 

D : Cosa sono il titolare del trattamento e il responsabile del trattamento?

Il titolare del trattamento stabilisce le finalità e le modalità del trattamento dei dati personali. Quindi, se la tua azienda/organizzazione decide «perché» e «come» devono essere trattati i dati personali, è titolare del trattamento. I dipendenti che trattano i dati personali all’interno della tua organizzazione lo fanno per adempiere ai compiti di titolare del trattamento della tua azienda/organizzazione.

La tua azienda/organizzazione è contitolare del trattamento quando insieme a una o più organizzazioni definisce congiuntamente «perché» e «come» devono essere trattati i dati personali. I contitolari del trattamento devono stipulare un accordo che definisca le rispettive responsabilità per quanto riguarda il rispetto delle norme del GDPR. Gli aspetti principali dell’accordo devono essere comunicati alle persone i cui dati sono oggetto di trattamento.

Il responsabile del trattamento tratta i dati personali solo per conto del titolare del trattamento. Il responsabile del trattamento è di solito un terzo esterno all’azienda. Tuttavia, nel caso di gruppi di imprese, un’impresa può agire in qualità di responsabile del trattamento per un’altra impresa.

Gli obblighi del responsabile del trattamento nei confronti del titolare del trattamento devono essere specificati in un contratto o in un altro atto giuridico. Ad esempio, il contratto deve indicare cosa succede ai dati personali una volta che il contratto viene risolto. Un’attività tipica dei responsabili del trattamento è quella di offrire soluzioni IT, inclusa l’archiviazione sul cloud. Il responsabile del trattamento può subappaltare una parte delle sue funzioni a un altro responsabile del trattamento o nominare un co-responsabile solo previa autorizzazione scritta del titolare del trattamento.

Vi sono situazioni in cui un’entità può essere titolare del trattamento, responsabile del trattamento o entrambi.

Il tutto dal link https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/what-data-controller-or-data-processor_it#esempi

Tutto quanto sopra in una visione GDPR, per quanto riguarda la prossima armonizzazione probabilmente verrà reintrodotto il Responsabile INTERNO , o forse no.

Come detto all’inizio non ci sono certezze, almeno io non ho certezze.

Continuiamo a leggerci, nei prossimi POST si parlerà della nota PRIVACY in calce alla posta elettronica e dell’inutilita’ della stessa e soprattutto della norma sulla protezione dei dati giudiziari in ambito penale, il D.lgs 51/18.

 

Print Friendly, PDF & Email