Responsabile trattamento dati
Il responsabile del trattamento dati personali, chi é?
Responsabile del trattamento dati è qualunque soggetto che tratta dati personali per conto del titolare, su sua istruzione e sotto la sua autorità. Per comprendere a pieno questa definizione, occorre fare un passo indietro e spiegare chi è il titolare.
In ambito privacy si distinguono tre ruoli fondamentali: interessato, titolare del trattamento e responsabile del trattamento.
L’interessato è la persona fisica a cui i dati personali si riferiscono.
Il titolare è quel soggetto giuridico che tratta i dati personali degli interessati determinandone le finalità. Ad esempio, una società è titolare del trattamento dei dati dei propri dipendenti, dei propri clienti, dei propri fornitori, degli utenti del suo sito etc. Il titolare può essere una persona fisica (es. un libero professionista o una impresa individuale) oppure una società, un’associazione etc. Titolare è in questi casi la società stessa oppure l’ente e non il suo legale rappresentante.
Per trattare questi dati, il titolare si serve in primo luogo dei propri dipendenti, che di conseguenza devono essere autorizzati. Inoltre, si affida anche a soggetti esterni all’azienda, che trattano alcuni dati per suo conto. Si pensi al consulente del lavoro, al medico competente ed all’RSPP, i quali trattano per conto del datore di lavoro (titolare) i dati dei suoi dipendenti (interessati). Così come il titolare, anche il responsabile trattamento dati può essere sia una persona fisica che una persona giuridica.
Responsabile esterno ed interno e responsabile della protezione dati: facciamo un po’ di chiarezza!
In base a quanto stabilito nel GDPR, il responsabile del trattamento (processor) è, per definizione, un soggetto esterno.
Prima del 25 maggio 2018, in Italia si era diffusa la prassi di nominare dei responsabili del trattamento interni all’azienda. In realtà, si trattava di un’anomalia, che mai era stata prevista dalla normativa europea e che probabilmente derivava dalla non “felicissima” scelta di tradurre il termine inglese processor con quello di responsabile del trattamento. Il responsabile interno era in sostanza un dipendente che si assumeva il compito di gestire ed organizzare la privacy all’interno dell’azienda. Con l’entrata in vigore del GDPR, non è necessario che questa figura scompaia ma è consigliabile definirla in altro modo (es. referente privacy), per non rischiare di fare confusione con il responsabile del trattamento, che è solo e soltanto esterno.
Un altro ruolo che, a causa della traduzione italiana, suscita spesso confusione è quello del responsabile della protezione dei dati (RPD). Questo soggetto non va confuso con il responsabile del trattamento. Si tratta piuttosto del ruolo più comunemente conosciuto con il termine inglese Data Protection Officer (DPO). Per maggiori dettagli su questa nuova figura rimando all’articolo “DPO (Data Protection Officer): chi è e chi deve assumerlo“.
Come individuare un responsabile del trattamento dati personali
Come si fa a capire quando un soggetto tratta dati personali in qualità di responsabile del trattamento oppure in qualità di titolare?
Per capirlo possiamo prendere come riferimento l’esempio tipico del consulente del lavoro. Quando tratta i dati personali dei dipendenti dei propri clienti per elaborare le buste paga, il consulente del lavoro opera in qualità di responsabile trattamento dati. In questo caso, egli non sta trattando i dati per suo conto ma per conto del suo cliente. Il consulente del lavoro può a sua volta avere dei dipendenti propri. Quando tratta i loro dati personali, non lo fa in qualità di responsabile bensì di titolare del trattamento.
Il responsabile del trattamento è in sostanza un outsourcer. Si tratta di un soggetto esterno all’impresa, che tratta dati personali non per suo conto ma per conto dell’impresa sua cliente.
Chi sono i responsabili esterni di un’impresa?
Lo stesso ragionamento visto sopra può essere applicato a tutti gli altri professionisti o società esterne a cui un’impresa si affida per lo svolgimento di determinati servizi.
Con riferimento ai trattamenti dei dati personali dei dipendenti, sono responsabili il consulente del lavoro e l’RSPP, se esterno. Lo stesso commercialista ha spesso bisogno di trattare dati personali dei dipendenti delle società sue clienti. In alcuni casi, possono essere responsabili del trattamento dati le società che forniscono servizi di formazione al personale oppure consulenza in materie di sicurezza ed igiene sul lavoro. Non è invece responsabile il medico competente, il quale opera come titolare autonomo del trattamento.
Altri esempi di responsabili del trattamento sono i fornitori di servizi informatici. Il tecnico che ha un accesso costante, spesso anche da remoto, al sistema informatico del proprio cliente, deve essere nominato responsabile del trattamento. Lo stesso vale per la software house che ha accesso ai dati contenuti nel gestionale, all’hosting provider che ospita i dati, a chi fornisce un servizio di back-up in cloud etc. In tutti questi casi è necessario distinguere chi interviene solo sporadicamente sui sistemi informativi da coloro che hanno con l’impresa un rapporto costante e continuativo. Nel primo caso possono essere sufficienti delle mere autorizzazioni, mentre nel secondo è necessario stipulare un contratto di nomina a responsabile del trattamento.
Si veda anche “Privacy in Cloud Computing: come proteggere i dati sulla nuvola“.
In ambito marketing, operano come responsabili del trattamento le web agencies, chi gestisce il sito web e le pagine social dei propri clienti, le società di telemarketing etc.
E l’avvocato allora?
La distinzione fra responsabile trattamento dati e titolare non è sempre chiara come nei casi sopra menzionati. In alcune ipotesi, come quella dell’avvocato, occorre approfondire il tipo di rapporto che si instaura fra cliente e professionista.
Nel mio caso, ad esempio, quando svolgo per conto dei miei clienti il ruolo di consulente privacy, mi faccio sempre nominare come responsabile del trattamento dati. Ciò perché, per poter fornire il servizio, ho bisogno di trattare alcuni dati dei loro dipendenti, clienti e fornitori. Devo infatti conoscere nome, cognome e mansioni del personale per poter redigere le lettere d’incarico e predisporre un’organigramma privacy. Devo conoscere i dati dei loro fornitori per effettuare le mappature dei flussi e predisporre le nomine dei soggetti esterni. Talvolta devo conoscere alcuni dati dei loro clienti per predisporre i registri etc.
In questo caso, anche se avvocato, agisco indubbiamente in qualità di responsabile esterno, esattamente come un consulente del lavoro o un commercialista.
La questione è invece un po’ più complicata quando assisto un cliente in una controversia stragiudiziale o giudiziale. Anche in tale ipotesi posso venire in contatto con dati personali dei suoi dipendenti (ad esempio per predisporre le testimonianze) oppure di suoi clienti o fornitori. Tuttavia, a mio parere, in queste ipotesi il mio ruolo non è quello di responsabile esterno, bensì di titolare autonomo del trattamento. Ciò in quanto sono io a determinare le finalità e le modalità di trattamento dei dati che il cliente mi fornisce. Nel trattarli, non seguo e non posso essere obbligato a seguire le sue istruzioni, bensì devo poter operare in autonomia.
La nomina del responsabile trattamento dati (Data Protection Agreement)
Una volta compreso chi sono i responsabili del trattamento, occorre capire che cosa bisogna fare.
L’art. 28 del GDPR obbliga il titolare ed il responsabile a concludere un contratto che disciplini la materia, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, i loro obblighi e diritti.
Non si tratta di un atto unilaterale di nomina ma di un vero e proprio contratto stipulato fra due parti. Chi è dunque a dover redigere e proporre il contratto, il titolare o il responsabile? Non vi è una regola per questo. Idealmente, ogni contratto dovrebbe essere negoziato e predisposto in accordo fra le parti. Tuttavia, ci rendiamo conto che questo non è sempre possibile. Vi immaginate Google o Amazon che negoziano con una piccola impresa il contratto che li nomina responsabili del trattamento?
Quando mi trovo ad assistere soggetti che ricoprono il ruolo di responsabili esterni per i loro clienti (come software house, web agency o fornitori di servizi informatici), il mio consiglio è quello di adeguare la loro contrattualistica e predisporre un contratto standard per la nomina a responsabili del trattamento. Se non lo fanno, saranno i clienti ad inviare loro i contratti redatti dai rispettivi consulenti privacy (più o meno improvvisati) ed a pretenderne la firma. Per una software house con centinaia o migliaia di clienti diventa di fatto impossibile gestire contratti diversi per ciascuno. Di conseguenza si troverà a firmare, spesso senza saperlo, cose senza senso od obbligazioni impossibili da adempiere.
Il mio consiglio è quindi quello di adeguare immediatamente al GDPR la contrattualistica che si sottopone ai propri clienti, prevedendo anche la nomina come responsabili del trattamento. Spetterà invece al cliente che abbia esigenze particolari fornire istruzioni che integrino quelle standard contenute nel contratto o chiedere delle modifiche.
L’articolo è tratto originalmente da ipRights pubblicato con Licenza Creative Commons Attribuzione 3.0 Italia
