Cybersecurity & Privacy

Nomina responsabile trattamento dati: evita l’uso ambiguo!

Scritto da Cristiano Pastorello | Oct 28, 2019 11:00:00 PM

Dall’entrata in vigore del GDPR, la nomina a responsabile trattamento dati è diventata una sorta di procedura diffusa e ripetuta, che spesso e volentieri ricade anche su produttori e addetti all’assistenza di software o sistemi informatici, senza che ce ne siano davvero i presupposti.

Qual è l’inghippo? Perché non è corretto considerare sistemisti o manutentori di software responsabili del trattamento?

 

Incaricati trattamento dati personali: chi può essere nominato?

Iniziamo a definire i requisiti del responsabile al trattamento dati. Per capire chi può essere nominato conviene partire dalla normativa. L’art. 28 del GDPR al paragrafo 1 recita:

"Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato".

Le “garanzie sufficienti” di cui parla la norma sono tutte quelle competenze organizzative e legali necessaire affinché si il responsabile possa agire per conto del titolare nell’esercizio di un trattamento legittimo dei dati.

Altro requisito necessario è che il responsabile gestisca i dati sulla base di precise istruzioni. L’art. 29 GDPR infatti recita:

"Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri".

Quindi in cosa di differenziano responsabile e tecnico?

 

Accesso ai dati personali VS. trattamento

Per capire dove sta l’errore in cui cadono troppo spesso molte aziende, basta pensare che la parola chiave da analizzare è proprio “trattamento”, perché in realtà i soggetti di cui stiamo parlando (sistemisti, manutentori, addetti assistenza ecc.) possono avere accesso ai dati, ma non li trattano.

Perché sia configurabile un trattamento, come suggerisce l’art. 4 del GDPR, ci deve essere una

“qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;".

Il semplice accesso è quindi attività diversa dal trattamento. Il tecnico non “mette mano sui dati” e non dovrebbe neanche essere autorizzato a farlo. Così come il responsabile del trattamento deve agire dietro precise istruzioni, allo stesso modo è opportuno che anche chi ha semplicemente accesso ai dati riceva un esplicito divieto di trattare i dati, meglio se correlato ad un vincolo al segreto professionale.

 

Trattamento illecito dati personali: chi è responsabile?

Se un tecnico viene nominato responsabile del trattamento senza essere in possesso delle competenze richieste, nelle sanzioni GDPR ricadrebbero sia sul Titolare/Responsabile del trattamento (per violazione dell’art.28 che richiede “garanzie sufficienti”) che sul tecnico (il quale sarebbe comunque vincolato agli adempimenti previsti all’art. 28).

 

GDPR cosa fare per mettersi in regola?

Orientarsi in una materia tanto complessa, come quella del GDPR non è semplice e immediato. Errori come quello descritto nell'articolo sono tuttora frequenti e per lo più ignorati dai soggetti coinvolti in materi a di privacy. Affidarsi ad esperti della materia è di gran lunga la scelta più sensata per mettersi in regola.