17 Mag Il responsabile del trattamento: definizione ed obblighi
Il Regolamento delinea la figura del titolare all’art. 4, paragrafo 1, n. 8 nella «persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento». Trattasi, pertanto, al quale il titolare del trattamento prepone ed affida il trattamento dei dati personali.
In merito ai requisiti soggettivi il Regolamento prevede all’art. 28, 1 co. che «Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente Regolamento e garantisca la tutela dei diritti dell’interessato».
Quanto ai termini di garanzia, in ottemperanza del Considerando 81, il responsabile del trattamento deve avere una conoscenza specialistica della materia, affidabilità e deve essere in possesso di risorse che permettano di attuare misure tecniche e organizzative in grado di soddisfare tutti i requisiti stabiliti dal Regolamento per il trattamento dei dati personali, anche sotto il profilo della sicurezza.
Il responsabile del trattamento dovrà quindi avere una competenza qualificata, che potrà essere comprovata da apposita documentazione, benché non esistano attualmente particolari abilitazioni o specifiche certificazioni.
Per quanto riguarda invece il profilo dell’affidabilità, tale requisito dovrà essere fondato su aspetti etico-deontologici, che potrebbero essere dimostrati, ad esempio, con semplici autocertificazioni, anche per escludere eventuali condanne che possano essere rilevanti al riguardo.
Il responsabile del trattamento dei dati può essere tanto una figura interna all’azienda, quanto esterna; a tenore dello scrivente sarebbe preferibile seguire l’indicazione di altri Stati membri dell’Unione Europea che hanno preferito quest’ultima soluzione di default.
Quanto agli obblighi, ai sensi per gli effetti dall’art. 28, comma 3 del Regolamento ed in forza del contratto stipulato con il titolare del trattamento è tenuto a:
1. trattare i dati personali solo sulla base di un’istruzione documentata del titolare del trattamento, anche nel caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale a meno che lo richieda il diritto dell’Unione Europea o nazionale cui è soggetto il responsabile del trattamento. In quest’ultimo caso, il responsabile del trattamento dovrà informare il titolare dell’esistenza di un tale obbligo giuridico prima del trattamento, a meno che ciò sia giuridicamente vietato per rilevanti motivi di interesse pubblico;
2. garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza ovvero abbiano un adeguato obbligo legale di riservatezza;
3. adottare tutte le misure richieste dall’art. 32 del Regolamento, ovvero le misure tecniche e organizzative necessarie al fine di garantire un livello di sicurezza adeguato al rischio (ad esempio, la cifratura);
4. rispettare tutte le condizioni previste per l’eventuale nomina di un sub-responsabile;
5. assistere il titolare del trattamento con misure tecniche e organizzative adeguate, e tenuto conto della natura del trattamento, al fine di soddisfare l’obbligo di dare seguito alle richieste per l’esercizio dei diritti dell’interessato, quali: il diritto di accesso ai dati personali, il diritto di rettifica, il diritto all’oblio, il diritto alla limitazione del trattamento, il diritto alla portabilità dei dati, il diritto di opposizione;
6. assistere il titolare del trattamento nel garantire il rispetto degli obblighi in materia di tutela della sicurezza dei dati, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
7. cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento su indicazione del titolare del trattamento, nonché cancellare le eventuali copie esistenti;
8. porre a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto dei suoi obblighi, nonché contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da lui incaricato;
9. informare immediatamente il titolare del trattamento qualora ritenga che un’istruzione violi il Regolamento o altre disposizioni nazionali o di diritto europeo relative alla protezione dei dati.
Da ultimo, ai sensi e per gli effetti dell’art. 30, comma 2, anche in capo al responsabile del trattamento è posto l’obbligo di tenere il registro dei trattamenti svolti per conto del titolare del trattamento nel quale vanno riportate dettagliatamente una serie di indicazioni relative ai trattamenti di dati effettuati.