Visualizza articoli per tag: responsabile del trattamento

Per garantire che siano rispettate le norme del Regolamento UE 679/2016 in relazione ai trattamenti che i responsabili debbano eseguire per conto del titolare, il Legislatore Europeo ha previsto, tra l’altro, che l’esecuzione dei compiti del responsabile venga disciplinata da un atto con valenza giuridica, nomina quindi non più meramente facoltativa ma obbligatoria in forza di un contratto o altro atto giuridico vincolante.

Senza una nomina, non c’è responsabile esterno? L’articolo 20 del Gdpr ci dice: “Guarda, carissimo titolare del trattamento, che tra te e il responsabile esterno è obbligatorio che ci sia o un contratto con delle clausole o una nomina. Se manca una di queste due cose, non puoi avvalerti di quel responsabile esterno.” Il responsabile esterno quindi deve essere nominato con un atto di nomina o deve essere indicato all’interno del contratto di fornitura, attraverso un atto che vincola il responsabile del trattamento al titolare. Cosa vuol dire che vincola?

I consulenti del lavoro non sono obbligatoriamente responsabili esterni del trattamento. Questa l'indicazione del Consiglio nazionale dei consulenti del lavoro (circolare n. 1150 del 23 luglio 2018), in cui si affronta un problema posto dal Regolamento Ue sulla privacy (n. 2016/679). In effetti se un soggetto è «responsabile del trattamento», in base all'articolo 28 del regolamento, deve obbligatoriamente, a pena di sanzione amministrativa, sottoscrivere un contratto con il titolare del trattamento. Per questo motivo ai consulenti stanno arrivando richieste di firmare il contratto di responsabile esterno. Secondo la circolare le richieste possono essere respinte.

Sono passati ormai più di due anni da quando il Gdpr è entrato pienamente in vigore e tra i soggetti protagonisti della nuova normativa ci sono certamente i fornitori di software ma non sempre è facile individuare ruoli e responsabilità nel trattamento dei dati ad essi affidati. Con riferimento a quest’ultimi, possono verificarsi diversi scenari ed è pertanto necessario valutare caso per caso le diverse fattispecie.

La società di servizi di conservazione dei dati è un responsabile esterno del trattamento. Questo vale per la società che ospita le informazioni sui dipendenti di una azienda. È questa una delle risposte fornite dalle «Linee-guida sui concetti di titolare del trattamento e responsabile del trattamento nel Gdpr», diffuse in pubblica consultazione dal Comitato europeo per la protezione dei dati personali (siglabile con l'acronimo inglese «Edpb»), che riunisce tutti i garanti europei della privacy.

Le colpe dei responsabili del trattamento ricadono sui titolari del trattamento. Anche se il fornitore esterno di un servizio abbia disatteso le prescrizioni del titolare. È quanto stabilito dal Garante con provvedimento n. 231/2019, in un caso in cui è stata contestata ad un operatore economico l'attivazione di contratti non richiesti dagli utenti.

Outsourcing in linea con la privacy. Quando un'azienda esternalizza i propri servizi deve preoccuparsi di stendere un contratto con il fornitore esterno, che diventa un responsabile del trattamento. Attenzione, stendere il contratto è obbligatorio, altrimenti si rischia fino a 10 milioni di euro di sanzione pecuniaria amministrativa (articolo 83 regolamento Ue sulla privacy n. 2016/679 o Gdpr). Insomma quando i dati personali passano da un'impresa a un'altra o a un ente pubblico occorre capire se si può fare e a che condizione si può fare.

Qual è la corretta qualificazione soggettiva, dal punto di vista della normativa 'data protection', di un cloud provider? E' un responsabile o piuttosto un titolare del trattamento? L'argomento è stato oggetto di numerose riflessioni e dibattiti nel corso del tempo e, alla luce delle disposizioni del Regolamento UE 2016/679, merita di essere ulteriormente sviscerato e, per quanto possibile, definito.

Rispondendo a 16 quesiti è possibile individuare chi è titolare e chi è responsabile del trattamento. È un dubbio che crea incertezze e contenzioso, anche a fronte della vaghezza dei parametri giuridico e della non esaustività delle indicazioni interpretative. Così se non c’è nessun problema nel caso in cui il soggetto è identificato titolare/responsabile da una norma o dall’Autorità di controllo, una relativa certezza (nel senso della titolarità del trattamento) c’è quando la legge affida a un determinato soggetto il compito, o imponga l'obbligo, a qualcuno, di raccogliere e trattare certi dati. La check-list nella Circolare 3/2019 di Federprivacy.

Un contratto tipo per l'outsourcing: lo ha confezionato la Commissione europea in applicazione del regolamento Ue sulla privacy o Gdpr (n. 2016/679). Lo schema di atto interessa tutti i casi in cui un'impresa o una pubblica amministrazione si serve di un fornitore esterno per servizi che comportano un trattamento di dati per conto del committente.