SPECIALE GDPR
to del tutto eventuale che deve essere scelto tra coloro
che forniscono “garanzie sufficienti” per mettere in atto
misure tecniche e organizzative adeguate in modo tale
che il trattamento soddisfi i requisiti del Regolamento e
garantisca la tutela dei diritti degli interessati.
Le “garanzie sufficienti” possono essere dimostrate an-
che tramite l’adesione a codici deontologici o alle certi-
ficazioni di cui agli artt.40 e 42 reg. UE (art.28, par. 5).
Al responsabile devono essere attribuiti specifici compi-
ti, sulla base di un atto scritto (art.28 reg. UE): un con-
tratto, o altro atto giuridico idoneo secondo il diritto
nazionale, i quali devono disciplinare almeno le materie
riportate all’art.28, par. 3.
Sotto il profilo del contenuto (molto dettagliato), è auspi-
cabile che i titolari che trattano dati personali accertino
se i contratti o gli atti di designazione dei responsabili
che stanno utilizzando siano conformi all’art.28, par. 3
reg. UE. Peraltro, la Commissione UE e le Autorità Ga-
ranti nazionali sono impegnate nel predisporre clausole
contrattuali modello da utilizzare a questo scopo.
Il responsabile tratta i dati “solo su istruzione documen-
tata del titolare del trattamento”, adotta tutte le misu-
re di sicurezza necessarie a garantire un trattamento
conforme al Regolamento e “mette a disposizione del
titolare tutte le informazioni necessarie per dimostrare
il rispetto degli obblighi” su di lui incombenti, sottopo-
nendosi “alle attività di revisione, comprese le ispezio-
ni, realizzati dal titolare...”. Ove necessario per esigenze
organizzative, possono essere designati più Responsabili,
anche suddividendone i compiti.
Nelle ipotesi normali, l’eventuale violazione da parte del
responsabile delle istruzioni del titolare da luogo a un
suo comportamento illecito (art. 82, par. 2, reg. UE). In
questi casi, però, il titolare dei dati per risultare esente
da responsabilità, dovrà dimostrare di avere esercitato
la dovuta vigilanza.
L’articolo 82 sulla responsabilità è la trasposizione dei
contenuti del parere del WP 29 1/2010 (n. 169) relativi
a “concetti di responsabile del trattamento e di incari-
cato del trattamento”, al quale si rinvia per gli appro-
fondimenti del caso.
Il Regolamento UE prevede ora la novità della nomina,
da autorizzarsi per iscritto dal titolare, di sub-respon-
sabili per specifiche attività di trattamento, nel rispetto
degli stessi obblighi contrattuali che legano titolare e
responsabile primario.
Il Regolamento prevede che sia comunque quest’ultimo a
rispondere dinanzi al titolare nel caso di inadempimento
del sub-responsabile (art.28, par. 4).
Incaricati, non menzionati, ma previsti
I responsabili possono essere interni oppure esterni. La
nomina dei responsabili esterni è anche uno strumento
di semplificazione, in quanto i Responsabili non devo-
no attuare gli stessi adempimenti già posti in essere dal
titolare che li ha nominati, come per esempio rendere
l’informativa od ottenere il consenso.
Gli outsourcers vanno nominati Responsabili del tratta-
mento, quando il titolare mantiene le decisioni relative alle
finalità; impartisce istruzioni e vigila sulla loro attuazione.
Il Regolamento non menziona espressamente gli incaricati
del trattamento, che sono le persone che materialmente
elaborano i dati personali, a ciò autorizzate dal titolare
o dal responsabile (art. 30, Codice Privacy). All’art.29 si
afferma però che “chiunque agisca sotto l’autorità” del
responsabile o del titolare, “che abbia accesso ai dati
personali non può trattare tali dati se non è istruito in
tal senso dal titolare del trattamento”.
Le disposizioni del Codice Privacy in materia di incaricati
sono pienamente compatibili con la struttura del nuovo
Regolamento Generale per la Protezione dei dati.
In un recente intervento, l’Autorità Garante ha afferma-
to che, in ossequio al “principio di ‘responsabilizzazio-
ne’ ... che prevede l’adozione di misure atte a garantire
proattivamente l’osservanza del regolamento...e anche
alla luce degli artt.28, c. 3, lett. b), 29 e 32, par. 4, ... si
ritiene opportuno che titolari e responsabili ... manten-
gano in essere la struttura organizzativa e le modalità di
organizzazione degli incaricati ...in quanto misure atte a
garantire e dimostrare ‘che il trattamento è effettuato
conformemente’ al regolamento”.
Questo significa che gli incaricati sono solamente per-
sone fisiche alle quali il titolare o il responsabile abbiano
impartito puntuali istruzioni e formazione. L’incaricato
non ha poteri decisionali; essendo un esecutore di at-
tività materiali.
La designazione dell’incaricato può avvenire anche me-
diante la sua assegnazione a una unità aziendale per
43
dicembre 2017
© iStock - SBphotos
prosegue a pagina 46