Differenze tra responsabile del trattamento e DPO: compiti, contratti e garanzie

Assonanti nelle loro identità definitorie, le figure, oltreché del titolare, del responsabile del trattamento dei dati personali  (RDT) e del responsabile della protezione dati (RDP, oppure DPO “Data Protection Officer”), già prima facie presentano difformità legate al loro approccio ontologico.

Mentre, infatti, il responsabile del trattamento dei dati incarna l’identità di un soggetto che tratta i dati personali per conto del titolare del trattamento, cioè in altre parole un delegato dei trattamenti da parte del titolare, viceversa, l’affine responsabile della protezione dei dati riveste l’identità di una figura indipendente che affianca titolare e responsabile del trattamento, fornendo loro consulenza nonché sorvegliando l’osservanza del GDPR.

Il responsabile del trattamento agisce esclusivamente sotto le istituzioni del titolare del trattamento, trattando i dati personali per conto del titolare; allo stesso modo del titolare del trattamento od a un contitolare del trattamento, un responsabile del trattamento può essere una persona giuridica come un’impresa, una PMI, un’autorità pubblica, un’agenzia od altro organismo.

Più in particolare, considerando che per “trattamento dei dati” debba intendersi “qualsiasi operazione od insieme di operazioni, compiute con o senza l’ausilio di mezzi automatizzati ed applicate a dati personali od insieme di dati personali”, l’art. 28 del GDPR prevede la possibilità di effettuare il trattamento dei dati tramite soggetto diverso dal titolare.

Più nello specifico, qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento, garantendo la tutela dei diritti dell’interessato. Fonte di regolamentazione primaria dovrà essere un contratto od altro atto giuridico a norma del diritto dell’UE o degli altri Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata, durata, natura e finalità del trattamento, il tipo di dati personali nonché le categorie di interessati, gli obblighi ed i diritti del titolare del trattamento.

Assai più pregnante, invece, il requisito dell’autonomia nei riguardi del Responsabile della protezione dati (RPD), trattandosi come anticipato di una figura autonoma ed indipendente, a sua volta del tutto svincolata da ogni potere di direttiva da parte del RTS per quanto riguarda l’esecuzione dei propri compiti.

Analizzando in maniera più analitica i relativi compiti, l’art. 39 GDPR (alle lett. a – e) enuncia in particolare  la necessità di informare e fornire consulenza al titolare del trattamento od al responsabile del trattamento, nonché ai dipendenti che eseguono il trattamento dei dati, nonché la facoltà di sorvegliare l’osservanza del regolamento e di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati, nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che parteciperà ai trattamenti ed alla connesse attività di controllo.

Seguono infine, e dotate di non minore importanza, le multiformi facoltà dirette a fornire un parere in merito alla valutazione d’impatto sulla protezione dei dati e cooperare con l’autorità di controllo, fungendo da punto di contatto per questioni connesse al trattamento.

Le clausole contrattuali tipo della Commissione europea ed i rapporti tra responsabile e titolare

Rilevantissimo quanto adottato dalla Commissione europea lo scorso 4 giugno 2021 riguardo le clausole contrattuali tipo per regolamentare i rapporti tra titolare e responsabile. Anzitutto, qualsiasi modifica al DPA (data processing agreement) sopravvenuta ed in costanza di rapporto contrattuale necessita di notifica al titolare, il quale dovrà approvarla con un atto di manifestazione di volontà concreto ed attivo, non potendo la semplice pubblicazione sul sito web ovvero la mera comunicazione via e mail sostituirne l’informazione e susseguente consapevole approvazione.

In quest’ambito, il ruolo del Responsabile del trattamento va definito soprattutto in relazione al contesto. La regola generale prevede che il titolare del trattamento rispondendo della gestione effettuata dai responsabili (Considerando 81), sia deputato a valutare il rischio del trattamento. Resta comunque ferma la necessità da parte del titolare di poter sindacare le decisioni dei responsabili, i quali dovranno essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato, al centro di tutto il CDPR. Il titolare del trattamento deve impiegare “unicamente responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche organizzative adeguate”, affinché il trattamento soddisfi i requisiti del GDPR anche in merito alla sicurezza, garantendo così la tutela dei diritti degli interessati. Quanto al loro contenuto precipuo, le garanzie del responsabile del trattamento sono da ritenersi le stesse che il medesimo è in grado di dimostrare in modo soddisfacente al titolare del trattamento.

Benché avvenga sovente che un trattamento di dati personali coinvolga più soggetti ritenibili ai sensi dell’art. 28 GDPR “responsabili”, accade tuttavia che un titolare del trattamento finisca per avvalersi di un solo responsabile del trattamento che, a sua volta, dopo aver ottenuto un’autorizzazione generale prestata dal titolare medesimo, utilizzi uno o più responsabili del trattamento, definiti c.d. “subresponsabili”. La categoria in esame si caratterizza per assumere a propria volta il ruolo di responsabile nei confronti di altro responsabile, come ad esempio in caso di subappalto o subfornitura. Nei riguardi dell’eventuale sub responsabile dovranno essere fornite le istruzioni, dovendo egli operare nel pieno rispetto degli obblighi imposti al primo responsabile del trattamento, oltre a dover fornire le garanzie sufficienti previste dall’art. 28 GDPR (par. 3), proprio come il responsabile nei confronti del titolare.

Il responsabile del trattamento in funzione di amministratore di sistema

Benché latitante all’interno del corredo del GDPR, la figura dell’amministratore del sistema ha fatto il proprio ingresso indirettamente, smarcandosi dalla figura del responsabile del trattamento.

Il Garante italiano, infatti, nel famoso provvedimento sugli amministratori di sistema (emanato il 27 novembre 2008 e modificato il 25 giugno 2009) ha definito l’amministratore di sistema in ambito informatico nel contesto della protezione dei dati personali, come la figura processionale “finalizzata alla gestione ed alla manutenzione di un impianto di elaborazione o di sue componenti, facendo però rientrare in essa anche le altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi”.

Il provvedimento sottolinea inoltre l’importanza della registrazione degli accessi e delle operazioni svolte dagli amministrazioni di sistema, al fine di garantirne la tracciabilità delle operazioni e la possibilità di effettuare controlli e verifiche. Il Garante, in particolare, ha fornito chiarimenti e precisazioni riguardo l’applicazione del provvedimento, soprattutto con riferimento alle aziende di piccole dimensioni o con sistemi informatici meno complessi che potrebbero non necessitare di una figura ad hoc sull’amministrazione dei sistemi.

Si tratta di un ruolo operativo, fondamentale per la sicurezza dei sistemi informatici e telematici e delle banche dati, e quindi con specifiche competenze tecniche al quale è affidato il compito della gestione di tali schemi, autorizzando altri soggetti all’accesso ai sistemi oltre al compito di vigilare sull’utilizzo dei sistemi. L’analogia tra l’amministrazione di sistema e del responsabile del trattamento è tuttavia molto forte, sicché qualora tale ruolo sarà esternalizzato sarà molto probabile che il primo rifluirà nell’altro.

Se nella tua organizzazione ci sono incertezze tra titolare del trattamento, responsabile del trattamento e DPO, ti aiutiamo a mappare correttamente i ruoli e a mettere in sicurezza i processi secondo il GDPR.
Redigiamo e aggiorniamo accordi ex art. 28 GDPR (Data Processing Agreement), gestiamo sub-responsabili, verifichiamo contitolarità ex art. 26, controlliamo gli amministratori di sistema e impostiamo misure tecniche e organizzative (art. 32) con logiche di privacy by design.

Contattaci per una consulenza operativa su: registro dei trattamenti, DPIA, SCC 2021 per trasferimenti extra-UE, istruzioni al responsabile, policy e audit lungo la filiera dati, nonché definizione dei compiti del DPO (art. 39).

Trasforma la compliance su titolare–responsabile–DPO in un vantaggio competitivo, riducendo rischi e sanzioni.

(5 votes, average: 5,00 out of 5)
Loading...