Responsabile del trattamento

 

 

Responsabile del trattamento

Chi è il responsabile del trattamento

Il GDPR non considera la possibilità di nominare un responsabile all’interno della struttura organizzativa del titolare. Con il previgente Codice Privacy, il titolare poteva designare il responsabile facoltativamente. Il GDPR disciplina espressamente ed esclusivamente il caso di designazione del responsabile individuandolo in soggetto esterno (sia esso persona giuridica, persona fisica, organizzazione o ente).

Nell’ambito della struttura organizzativa l’ex-responsabile interno può essere configurato come una persona che agisce sotto l’autorità del titolare (persona autorizzata al trattamento) tenuta all’obbligo di confidenzialità, operando in conformità alle istruzioni scritte impartite dal titolare.

Come scegliere un responsabile e come nominarlo

Il responsabile non può essere scelto casualmente e senza alcun criterio selettivo preventivo. Il titolare deve scegliere il responsabile tra soggetti che appropriatamente assicurino, in base alla esperienza, capacità e affidabilità, il pieno rispetto dei requisiti del GDPR, compresa la sicurezza del trattamento e la tutela dei diritti degli interessati. Il responsabile deve, altresì, impegnarsi a eseguire il trattamento solo secondo le istruzioni ricevute dal titolare.

Il GDPR è molto stringente rispetto alle modalità di designazione e alle istruzioni da impartire al responsabile.

Il trattamento affidato a un responsabile deve essere formalizzato da un contratto di servizi che definisca gli specifici compiti. Il contratto deve vincolare il responsabile al titolare definendo la materia disciplinata, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati trattati e le categorie di interessati, nonché obblighi e diritti del titolare. Ciò significa che devono essere declinate le caratteristiche del trattamento affidato al responsabile.

Quali sono gli obblighi e le responsabilità del responsabile 

Gli obblighi cui è tenuto il responsabile sono da valutare rispetto alla propria funzione e realtà operativa, prescindendo dagli obblighi del titolare. Tra gli altri, vi saranno, perciò:

1. tenuta del Registro delle attività di trattamento distintamente per ogni titolare per cui opera

2. designazione, sussistendone le condizioni stabilite dal GDPR, del «Data Protection Officer» (o su base volontaria)

3. adozione di adeguate misure di sicurezza organizzative e tecniche

4. se non stabilito nell’UE, designare un rappresentante nello Stato ai fini dell’applicazione del GDPR

5. individuare le persone autorizzate al trattamento, vincolandole alla confidenzialità e autorizzandole a trattare i dati stabilendo entro quali limiti.

Deve informare tempestivamente il titolare se, a suo parere, un’istruzione impartita è in contrasto con i requisiti del GDPR.

Se un responsabile svolge trattamenti difformemente dai requisiti del GDPR e dalle istruzioni impartite dal titolare, determinando in autonomia finalità e mezzi del trattamento, è considerato esso stesso titolare.

È, infine, responsabile degli inadempimenti e violazioni del GDPR da parte degli eventuali ulteriori responsabili che ha designato previa autorizzazione scritta, generale o specifica, del titolare.

 

Per approfondire, clicca qui oppure consulta le FAQ oppure contattatami.

 

Privacy Policy - Cookie Policy - Condizioni uso sito - Website map


Tiziana Minella - Via Vittoria Colonna, 32 - 10155 Torino (TO) - P.I. 03152590018 - mob. 366.4761338 - 338.6626635