La figura del Responsabile del trattamento dei dati nel nuovo GDPR

Premessa

La figura del Responsabile del trattamento dei dati può essere nominata in via facoltativa dal titolare del trattamento, quando quest’ultimo ritiene di non poter svolgere totalmente la propria attività di trattamento dei dati personali mediante delle risorse interne e deve quindi necessariamente avvalersi di un soggetto esterno.

La nomina del Responsabile del trattamento dei dati

La nomina deve avvenire tramite contratto o atto giuridico vincolante a norma del diritto dell’Unione Europea o degli Stati membri, in forma scritta o elettronica.
L’atto di nomina deve contenere :

  • la durata, la natura e la finalità del trattamento;
  • tipo di dati personali e categorie di interessati;
  • diritti e obblighi del titolare del trattamento e del responsabile del trattamento elencati all’art. 28 co. 3 del GDPR.

Il Responsabile del trattamento si occupa del trattamento dei dati personali per conto del titolare, per farlo deve avere determinati requisiti tra cui quello di essere una figura esterna che non rientri nell’organizzazione dell’impresa del titolare del trattamento. Inoltre deve possedere una formazione adeguata per poter mettere in atto misure tecniche e organizzative, in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato.
Per valutare l’idoneità tecnica ed organizzativa del responsabile del trattamento, si può fare riferimento all’adesione o meno al codice di condotta o ai meccanismi di certificazione.

People holding cloud network security symbols

I compiti del Responsabile del trattamento dei dati

Il Responsabile del trattamento è tenuto a :

  • trattare i dati personali soltanto su istruzione documentata del titolare, in caso di violazione potrà subire apposite sanzioni;
  • dare la garanzia in merito al rispetto della riservatezza da parte delle persone autorizzate dal responsabile a trattare i dati;
  • dotarsi di misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio e l’osservanza delle prescrizioni in materia di privacy by design e by default;
  • tenere il registro delle attività di trattamento svolte in qualità di responsabile;
  • mettere a disposizione del titolare le informazioni che dimostrino il rispetto degli obblighi e il consentire le attività di revisione, nonché di ispezione, realizzate dal titolare o da un altro soggetto incaricato da quest’ultimo;
  • cancellare o devolvere i dati, in base alla scelta del titolare, al termine della prestazione dei servizi relativi al trattamento;
  • fornire supporto per gestire le richieste da parte dell’interessato riguardo i propri diritti e le violazioni dei diritti personali.

Il titolare del trattamento dei dati può avvalersi anche della figura del DPO, Data Protection Officer, ovvero del Responsabile della protezione dei dati quando ricorrono almeno una delle seguenti ipotesi:

  • il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico;
  • le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati “sensibili” (orientamento sessuale, politico, dati sanitari) o “giudiziari” (condanne penali e reati).
sicurezza-informatica-e-concetto-di-protezione-dei-dati-digitali_31965-2070

La figura del DPO

Il DPO si distingue dal Responsabile del trattamento poiché ha il compito di vigilare sull’osservanza degli obblighi derivanti dal GDPR e della normativa vigente in materia di privacy.
Collabora con il Titolare e/o con il Responsabile del trattamento nella valutazione dei Data Protection Impact Assessments (DPIA) e coopera con l’Autorità Garante in materia di protezione dei dati personali fungendo da elemento di contatto fra questa ed il Titolare del trattamento.

In conclusione e per semplificare, il Responsabile del trattamento dei dati personali è un soggetto esterno al Titolare del trattamento, che presenta determinate caratteristiche organizzative e tecniche, al quale viene delegata la gestione dell’attività di trattamento dei dati personali ed i cui compiti sono disciplinati nel dettaglio dal nuovo GDPR (art. 28).

Ti è piaciuto questo approfondimento sul Responsabile del Trattamento dei dati?

Desideri ulteriori approfondimenti? CONTATTACI e risponderemo alle tue domande!

Ora sai quanto è necessaria la figura del !