Previous Page  13 / 53 Next Page
Information
Show Menu
Previous Page 13 / 53 Next Page
Page Background

SPECIALE GDPR

to del tutto eventuale che deve essere scelto tra coloro

che forniscono “garanzie sufficienti” per mettere in atto

misure tecniche e organizzative adeguate in modo tale

che il trattamento soddisfi i requisiti del Regolamento e

garantisca la tutela dei diritti degli interessati.

Le “garanzie sufficienti” possono essere dimostrate an-

che tramite l’adesione a codici deontologici o alle certi-

ficazioni di cui agli artt.40 e 42 reg. UE (art.28, par. 5).

Al responsabile devono essere attribuiti specifici compi-

ti, sulla base di un atto scritto (art.28 reg. UE): un con-

tratto, o altro atto giuridico idoneo secondo il diritto

nazionale, i quali devono disciplinare almeno le materie

riportate all’art.28, par. 3.

Sotto il profilo del contenuto (molto dettagliato), è auspi-

cabile che i titolari che trattano dati personali accertino

se i contratti o gli atti di designazione dei responsabili

che stanno utilizzando siano conformi all’art.28, par. 3

reg. UE. Peraltro, la Commissione UE e le Autorità Ga-

ranti nazionali sono impegnate nel predisporre clausole

contrattuali modello da utilizzare a questo scopo.

Il responsabile tratta i dati “solo su istruzione documen-

tata del titolare del trattamento”, adotta tutte le misu-

re di sicurezza necessarie a garantire un trattamento

conforme al Regolamento e “mette a disposizione del

titolare tutte le informazioni necessarie per dimostrare

il rispetto degli obblighi” su di lui incombenti, sottopo-

nendosi “alle attività di revisione, comprese le ispezio-

ni, realizzati dal titolare...”. Ove necessario per esigenze

organizzative, possono essere designati più Responsabili,

anche suddividendone i compiti.

Nelle ipotesi normali, l’eventuale violazione da parte del

responsabile delle istruzioni del titolare da luogo a un

suo comportamento illecito (art. 82, par. 2, reg. UE). In

questi casi, però, il titolare dei dati per risultare esente

da responsabilità, dovrà dimostrare di avere esercitato

la dovuta vigilanza.

L’articolo 82 sulla responsabilità è la trasposizione dei

contenuti del parere del WP 29 1/2010 (n. 169) relativi

a “concetti di responsabile del trattamento e di incari-

cato del trattamento”, al quale si rinvia per gli appro-

fondimenti del caso.

Il Regolamento UE prevede ora la novità della nomina,

da autorizzarsi per iscritto dal titolare, di sub-respon-

sabili per specifiche attività di trattamento, nel rispetto

degli stessi obblighi contrattuali che legano titolare e

responsabile primario.

Il Regolamento prevede che sia comunque quest’ultimo a

rispondere dinanzi al titolare nel caso di inadempimento

del sub-responsabile (art.28, par. 4).

Incaricati, non menzionati, ma previsti

I responsabili possono essere interni oppure esterni. La

nomina dei responsabili esterni è anche uno strumento

di semplificazione, in quanto i Responsabili non devo-

no attuare gli stessi adempimenti già posti in essere dal

titolare che li ha nominati, come per esempio rendere

l’informativa od ottenere il consenso.

Gli outsourcers vanno nominati Responsabili del tratta-

mento, quando il titolare mantiene le decisioni relative alle

finalità; impartisce istruzioni e vigila sulla loro attuazione.

Il Regolamento non menziona espressamente gli incaricati

del trattamento, che sono le persone che materialmente

elaborano i dati personali, a ciò autorizzate dal titolare

o dal responsabile (art. 30, Codice Privacy). All’art.29 si

afferma però che “chiunque agisca sotto l’autorità” del

responsabile o del titolare, “che abbia accesso ai dati

personali non può trattare tali dati se non è istruito in

tal senso dal titolare del trattamento”.

Le disposizioni del Codice Privacy in materia di incaricati

sono pienamente compatibili con la struttura del nuovo

Regolamento Generale per la Protezione dei dati.

In un recente intervento, l’Autorità Garante ha afferma-

to che, in ossequio al “principio di ‘responsabilizzazio-

ne’ ... che prevede l’adozione di misure atte a garantire

proattivamente l’osservanza del regolamento...e anche

alla luce degli artt.28, c. 3, lett. b), 29 e 32, par. 4, ... si

ritiene opportuno che titolari e responsabili ... manten-

gano in essere la struttura organizzativa e le modalità di

organizzazione degli incaricati ...in quanto misure atte a

garantire e dimostrare ‘che il trattamento è effettuato

conformemente’ al regolamento”.

Questo significa che gli incaricati sono solamente per-

sone fisiche alle quali il titolare o il responsabile abbiano

impartito puntuali istruzioni e formazione. L’incaricato

non ha poteri decisionali; essendo un esecutore di at-

tività materiali.

La designazione dell’incaricato può avvenire anche me-

diante la sua assegnazione a una unità aziendale per

43

dicembre 2017

© iStock - SBphotos

prosegue a pagina 46

1 8 9 10 11 12 13 14 15 16 17 18 19 53  FlippingBook