Nel linguaggio degli addetti ai lavori sono denominati correntemente 'sub-responsabili', mentre l'art. 28 del Regolamento UE 2016/679 li chiama “altri responsabili”, la sostanza è comunque la stessa: si intendono per costoro quei soggetti cui si rivolge il responsabile quando intenda sub-affidare in tutto o in parte il servizio (con il connesso trattamento dei dati) del cui svolgimento ha ricevuto incarico dal titolare. Si tratta di una opportunità denegata, in Italia, dal pre-vigente art. 29 del Codice privacy, che contemplava unicamente nomine dirette da parte del titolare, nella formale indifferenza rispetto ad un fenomeno che nella realtà del mercato era ed è, invece, assai diffuso ed importante.
Il Responsabile del trattamento dati gode di un'autonomia propositiva nell'adozione di misure tecniche e organizzative adeguate al livello di rischio, tanto da derivarne una specifica e diretta responsabilità nel caso di misure rilevatesi inadeguate. E' questo, in sintesi, il contenuto del recente provvedimento del Garante (n. 107 del 24 marzo 2022) con cui è stato sanzionato un responsabile del trattamento a causa dell'accesso abusivo al sistema informatico che gestiva per conto del Titolare.
Per leggere l'articolo integrale devi effettuare il login!
Una sanzione di un milione di euro è stata comminata dal Garante privacy ad Autostrade per l’Italia spa (ASPI) per avere trattato in modo illecito i dati di circa 100mila utenti registrati alla app per il rimborso del pedaggio, denominata Free to X. Le criticità del servizio - che consente la restituzione, totale o parziale, del costo del biglietto autostradale per i ritardi dovuti ai cantieri di lavoro - erano state segnalate al Garante da una associazione di consumatori.
La qualificazione dei soggetti esterni destinatari di dati personali e la corretta individuazione del ruolo soggettivo loro attribuito è un processo complesso, che implica verifiche mirate e che continua a presentare non poche criticità. Nello svolgimento delle attività di trattamento che gli sono proprie, infatti, il titolare del trattamento si trova a dover comunicare i dati personali dell’interessato a diverse categorie di soggetti, o a doverli condividere con gli stessi:
È all’attenzione della Corte Suprema USA una questione che potrebbe rivoluzionare la disciplina statunitense in materia di responsabilità degli internet provider. Il caso è stato presentato dalla famiglia di Nohemi Gonzales, una studentessa, tra le vittime dell’attacco terroristico al Bataclan, a Parigi, nel 2015.
Il trattamento di dati personali effettuato da un soggetto incaricato dal titolare, ma in assenza di investitura formale nel ruolo di responsabile o sub-responsabile, è illecito. Così la Cassazione conferma la pronuncia sanzionatoria del Garante Privacy.
Per leggere l'articolo integrale devi effettuare il login!
La società di servizi di conservazione dei dati è un responsabile esterno del trattamento. Questo vale per la società che ospita le informazioni sui dipendenti di una azienda. È questa una delle risposte fornite dalle «Linee-guida sui concetti di titolare del trattamento e responsabile del trattamento nel Gdpr», diffuse in pubblica consultazione dal Comitato europeo per la protezione dei dati personali (siglabile con l'acronimo inglese «Edpb»), che riunisce tutti i garanti europei della privacy.
Per leggere l'articolo integrale devi effettuare il login!
Le colpe dei responsabili del trattamento ricadono sui titolari del trattamento. Anche se il fornitore esterno di un servizio abbia disatteso le prescrizioni del titolare. È quanto stabilito dal Garante con provvedimento n. 231/2019, in un caso in cui è stata contestata ad un operatore economico l'attivazione di contratti non richiesti dagli utenti.
Per leggere l'articolo integrale devi effettuare il login!
Il Garante per la protezione dei dati personali ha sanzionato la Regione Lazio per 75.000 euro per non aver nominato responsabile del trattamento dati la Società Cooperativa Capodarco, a cui l’Ente aveva affidato la gestione delle prenotazioni delle prestazioni sanitarie, attraverso il call center regionale (ReCUP).
Outsourcing in linea con la privacy. Quando un'azienda esternalizza i propri servizi deve preoccuparsi di stendere un contratto con il fornitore esterno, che diventa un responsabile del trattamento. Attenzione, stendere il contratto è obbligatorio, altrimenti si rischia fino a 10 milioni di euro di sanzione pecuniaria amministrativa (articolo 83 regolamento Ue sulla privacy n. 2016/679 o Gdpr). Insomma quando i dati personali passano da un'impresa a un'altra o a un ente pubblico occorre capire se si può fare e a che condizione si può fare.
Per leggere l'articolo integrale devi effettuare il login!
