Nomina Responsabile trattamento dati: ecco cosa sapere

Ad esempio, se il tuo e-commerce si rivolge ad una web agency per la gestione della newsletter e l’agenzia accede al tuo database di lead, è necessario che l’agenzia di marketing sia nominata come Responsabile del trattamento, dal momento che i dati verranno trattati da questa, ma per una finalità, quella della pubblicità, scelta dall’e-commerce.

In questi casi, il GDPR impone che tra titolare e responsabile del trattamento ci sia un contratto (o altro atto giuridico) che disciplini il come e perché deve avvenire il trattamento dei dati personali: questo è l’atto di nomina a Responsabile del trattamento, o anche conosciuto come Data Processing Agreement (DPA).

Ma chi nomina il responsabile esterno del trattamento dei dati? Quali sono le procedure da seguire? Qual è il suo ruolo e in quali occasioni è necessario?

In questo articolo, Floriana Capone, Avvocato dell’e-commerce, partner di isendu e founder di Ecommerce legale, risponde a tutti i dubbi che riguardano la nomina del Responsabile del trattamento dei dati personali, con un’analisi accurata degli articoli del GDPR a riguardo.

1. Chi è il Responsabile del trattamento dei dati personali? 

Il Responsabile del trattamento dei dati personali è una figura introdotta con l’articolo 4 del Regolamento europeo sulla Protezione dei Dati Personali (GDPR), in cui viene definito come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo, che tratta dati personali per conto del titolare del trattamento”.

All’interno delle organizzazioni, la responsabilità del trattamento fa capo al titolare dell’azienda. Mentre, si rende necessario nominare quale Responsabile del trattamento ogni qualvolta viene incaricati un soggetto esterno per prestare un servizio che richiede anche il trattamento dei dati. 

La definizione data dal Regolamento non si limita solo alle persone fisiche, ma è estesa anche a società, enti e altri tipi di organismi che possono essere investiti di questo ruolo. 

Per questo motivo è possibile designare come Responsabile del trattamento anche agenzie che forniscono servizi marketing o web agency, media buyer che accedono ai database e fornitori di servizi tecnologici.

Facciamo un esempio.

Se un’azienda non ha le risorse interne per occuparsi della gestione delle Ads su Facebook, deve affidarsi ad una risorsa esterna. Attività del genere implicano il trattamento dei dati dei potenziali clienti, per cui il GDPR prevede che ci sia un atto, la nomina a Responsabile del trattamento, con cui il titolare del trattamento indichi alla risorsa esterna come deve trattare i dati personali che lui ha raccolto. 

Che sia un freelance o una società che fornisce servizi di marketing, quindi, è necessario che il titolare nomini Responsabile del trattamento dei dati personali colui che tratta i dati personali per conto del titolare del trattamento, senza scegliere le finalità (il perché vengono raccolti i dati personali).

È fondamentale sapere che, nei casi di violazione dei principi stabiliti dal GDPR, la responsabilità nei confronti dei soggetti interessati dal trattamento, ricade sul titolare.

Tuttavia, il Responsabile del trattamento è chiamato a rispondere in due casi specifici: se non ha rispettato le indicazioni del GDPR sugli obblighi relativi al Responsabile o qualora non abbia seguito le istruzioni impartite dal titolare.

Nomina del sub-responsabile al trattamento

Al Responsabile del trattamento è riconosciuta la facoltà di nominare a sua volta un sub-responsabile a cui delegare attività specifiche, mediante un contratto o un altro atto giuridico a norma. 

A livello legale, su di lui ricadono i medesimi obblighi relativi al trattamento dei dati.

Tuttavia, in caso di violazioni, la colpa nei confronti del titolare ricade interamente sul responsabile iniziale, che viene costretto a risarcire i possibili danni causati da un trattamento improprio.

2. Quali sono gli obblighi del Responsabile del trattamento

Il Responsabile del trattamento è soggetto a due tipologie di obblighi: quelli nei confronti del titolare, come stabiliti dal contratto, e gli obblighi relativi alle attività operative previsti dal GDPR.

Il principale obbligo del Responsabile del trattamento è quello di conformarsi alle istruzioni impartite dal titolare, da cui derivano tutti gli altri obblighi. 

Le istruzioni devono essere documentate da mezzi di supporto definiti in fase contrattuale, in modo che possa essere controllata la conformità delle azioni del Responsabile del trattamento alle istruzioni impartite dal titolare.

Obblighi del Responsabile del trattamento relativi ad attività operative

Il GDPR affida al Responsabile del trattamento dei dati dei compiti ben precisi:

• Redigere il registro dei trattamenti: l’articolo 30 del GDPR prevede che il Responsabile del trattamento tenga il registro dei trattamenti, contenente una serie di informazioni tra cui:le finalità del trattamento, le categorie di dati personali e le categorie di persone interessate, oltre alle categorie di destinatari a cui vengono comunicati i dati, le misure di sicurezza adottate e l’eventuale trasferimento verso un paese terzo. 
• Attuare misure organizzative e tecniche necessarie per la sicurezza dei dati: il GDPR dedica un articolo specifico (32 GDPR) alla sicurezza del trattamento, con il quale affida al titolare e al Responsabile del trattamento il compito di garantire un livello di sicurezza adeguato al rischio, anche con sistemi di pseudonimizzazione e cifratura dei dati personali. 

È previsto anche l’obbligo di assicurare la riservatezza e l’integrità dei sistemi e dei servizi di trattamento, anche in caso di incidenti, verificando periodicamente l’efficacia delle misure.

• Adottare misure per il trasferimento dei dati verso paesi extra UE che non offrono adeguato livello di protezione: il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale può essere effettuato solo se viene garantito un livello di protezione adeguato, e nel rispetto degli artt. 44 e seguenti del GDPR.
• Nominare DPO quando necessario: per scegliere una figura a cui affidare il ruolo di Responsabile della protezione dei dati personali, il Responsabile del trattamento deve verificare che abbia tutti i requisiti necessari (conoscenza della materia, competenze richieste, esperienza nel settore, formazione sui sistemi utilizzati). 
• Informare senza ritardo i titolari di un avvenuto data breach rispetto ai dati trattati per suo conto: in questo modo il titolare è nella condizione di adempiere a tutti gli altri obblighi previsti dall’articolo 33 del GDPR, di avvisare l’autorità di controllo e prendere i provvedimenti necessari.

Il Responsabile del trattamento ha anche il dovere di cooperare con l’Autorità di controllo in caso di verifiche.

Da leggere: come fotografare prodotti per e-commerce

3. Nomina responsabile trattamento dati personali 

Secondo il GDPR, la nomina del Responsabile del trattamento dei dati personali spetta al titolare del trattamento. 

Chi riveste il ruolo di Responsabile del trattamento deve essere in possesso dei requisiti minimi adeguati, quali la competenza nel trattare i dati nel rispetto della normativa sulla Privacy, la conoscenza delle misure tecniche e organizzative disponibili, la capacità di tutelare i diritti degli interessati dal trattamento.

L’art. 28 GDPR impone espressamente che, nell’ambito di questi rapporti, venga stipulato un contratto scritto tra le parti (o altro atto giuridico con uguale valenza) per formalizzare la nomina del Responsabile del trattamento: il cosiddetto atto di nomina a Responsabile del trattamento, da allegare al contratto d’incarico oppure contenuto all’interno del contratto principale.

L’atto di nomina deve avere un contenuto minimo di informazioni relative al trattamento, tra cui:

• oggetto del contratto;
• durata del trattamento;
• natura e finalità del trattamento;
• tipologia di dati personali trattati;
• soggetti e categorie di interessati;
• misure di sicurezza adottate;
• nomina di sub responsabili;
• istruzioni del titolare del trattamento;
• gestione della fine del rapporto e cancellazione dei dati.

Tra le responsabilità principali nei confronti del Responsabile del trattamento, c’è quella di adottare le misure di sicurezza adeguate, di natura tecnica e organizzativa, per garantire la sicurezza dei dati personali trattati per conto del titolare. 

4. Le differenze tra Responsabile del trattamento e Responsabile della protezione dei dati 

In molti casi, la figura del Responsabile del trattamento viene confusa con quella del Responsabile della Protezione dei Dati. Ma attenzione: i due ruoli sono molto differenti.

Il Responsabile della protezione dei dati, o DPO (acronimo di Data Protection Officer), è una figura a cui è affidata la vigilanza e la supervisione sulla corretta applicazione del GDPR. All’interno dell’azienda, informa e supporta il titolare, il Responsabile del trattamento dati e i dipendenti sulle disposizioni che riguardano la protezione dei dati, e controlla che gli obblighi vengano rispettati.

Inoltre, si pone come figura di raccordo tra il titolare dell’azienda e l’Autorità Garante per quanto riguarda l’accesso ai dati, affinché i soggetti interessati possano esercitare i diritti riconosciuti dalla normativa privacy.

Conclusioni

La nomina del Responsabile del trattamento è fondamentale per avere un’attività in regola con il GDPR. Per questo motivo è consigliabile rivolgersi ad un avvocato specializzato sul GDPR e la Normativa sulla Privacy che possa analizzare la situazione attuale della tua azienda e indirizzarti sulle misure più adeguate da attuare per mettersi in pari con la normativa privacy, come per la redazione un atto di nomina a Responsabile del trattamento corretto dal punto di vista giuridico.