Il Data Processor, meglio conosciuto come Responsabile del trattamento dei dati personali, è la figura che, in questo numero, desideriamo far conoscere ai nostri lettori appassionati ai temi della protezione dati.
Prima di approfondire nello specifico le caratteristiche chiave di questa figura, è opportuno chiarire che si parlerà di un soggetto già noto nel panorama lavorativo italiano per la sua capacità di essere d’ausilio, in ambito operativo, al Titolare del trattamento. A questo punto la domanda che ciascun lettore potrebbe porsi è: “Per quale motivo un Titolare del trattamento dovrebbe aver bisogno di una figura di supporto come quella del Data Processor?”.
La risposta può essere molteplice: dalla mancanza di una completa competenza del Titolare circa gli argomenti di natura tecnica che si devono affrontare ogni qualvolta ci si confronti con la protezione del dato fino alla scarsa disponibilità del Titolare stesso a causa di una agenda sempre più fitta e articolata.
A tal proposito è utile precisare che la designazione di tale figura, con l’entrata in vigore del Regolamento UE 679/2016 e i molteplici mutamenti che hanno coinvolto il campo sociale, delle comunicazioni e via discorrendo, è divenuta “quasi” obbligatoria a differenza di quanto avveniva col D. Lgs. 196/2003, ove si lasciava libera decisione al Titolare in merito alla designazione o meno di un altro attore principale dello scenario “Protezione Dati”: il Responsabile della Protezione dei Dati (RPD).
Chi è il Responsabile del Trattamento?
La figura cui il Titolare può rivolgersi richiedendo piena ed approfondita conoscenza delle modalità atte a garantire un adeguato e responsabile trattamento dei dati personali degli interessati. Nello specifico, l’art. 4 definisce il Data Processor come “La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta i dati personali per conto del Titolare”.
Vediamo quali sono le competenze che un Titolare può richiedere ad un Responsabile del trattamento. Necessario sarà partire con la ricerca di una persona in possesso di una conoscenza integrata di misure tecniche ed organizzative così da garantire una buona padronanza delle difese fisiche ed elettroniche da applicare sia nel caso di trattamento di dati personali di natura cartacea che informatica. Il Responsabile del trattamento deve, inoltre, assicurare adeguate competenze nella stesura e relativa applicazione di misure procedurali, politiche aziendali, manuali di comportamento e, non da ultimo, deve essere in grado di fornire indicazioni e soluzioni di volta in volta utili a risolvere problemi.
Una domanda che ciascun lettore potrebbe porsi riguarda la possibilità da parte del Responsabile del trattamento di ricorrere ad una richiesta di collaborazione nello svolgimento dei compiti affidatigli. La risposta è naturalmente affermativa, ma non prima di aver proceduto ad un’autorizzazione scritta da parte del Titolare del trattamento nei confronti della persona scelta a supporto del Data Processor, da integrare o modificare ogni qualvolta si procederà a cambiamenti nei compiti da svolgere. Quanto poc’anzi detto è dettagliato al comma 2 dell’articolo 28 del Regolamento Europeo.
L’autorizzazione scritta è necessaria anche per regolamentare il rapporto tra il Titolare e il Responsabile del Trattamento? Senza dubbio sì. A definirlo è il comma 3 del già citato art. 28, ove si sostiene che i trattamenti affidati al Responsabile del trattamento dal Titolare debbano essere disciplinati da un “documento di affidamento” mediante il quale si impegna il Responsabile al corretto espletamento dei compiti assegnati, documento che dovrà assumere una forma simile ad uno scritto contrattuale.
Quali gli aspetti da disciplinare nel documento di affidamento tra Titolare e Responsabile?
Dato per certo che il Titolare abbia riflettuto attentamente sulla scelta del Responsabile, i requisiti su cui fondare l’accordo per il trattamento dei dati in oggetto sono da ricercarsi nei soggetti coinvolti (ad es. nel caso di un impiegato amministrativo o di un Studio Commercialista coinvolti saranno i clienti, stakeholders); nella durata del trattamento, quindi il tempo di durata del trattamento dei dati; nella natura e finalità del trattamento; nella tipologia di dati personali coinvolti (se di carattere personale, fiscale, sensibile); nelle categorie di interessati coinvolti e nelle obbligazioni e diritti degli interessati; nel comportamento che lo stesso dovrà assumere al termine del rapporto contrattuale (cancellazione o restituzione dei dati trattati durante il rapporto). Alla luce di quanto detto risulta chiaro che il Responsabile debba prestare la dovuta attenzione e diligenza al fine di rispettare puntualmente le indicazioni impartite dal Titolare. Iniziative autonome, magari non appropriate, lo porterebbero a sconfinare in mansioni non di sua competenza, assumendosi la responsabilità del caso e gli oneri che ne deriverebbero.
Il Responsabile del trattamento deve essere adeguatamente pubblicizzato?
Ebbene sì! Il Titolare è obbligato a rendere noto agli interessati – o comunque a mettere a loro disposizione – l’elenco dei Responsabili cui sono trasmessi i dati degli interessati. A conferma di tale pratica merita menzione il comportamento del colosso informatico Microsoft, che a tal riguardo rende pubblico l’elenco dei propri Responsabili del trattamento dati. Non finisce qui. Il marchio statunitense, al fine di garantire maggior trasparenza e conoscenza, si preoccupa di avvertire consistente anticipo i propri interessati dell’inserimento nell’elenco di nuovi Data Processor, offrendo in tal modo loro la possibilità di rendersi conto in anticipo di quelli che saranno i soggetti coinvolti nel trattamento dei propri dati, così da avere la possibilità di rivedere il proprio consenso al trattamento dati. A motivo di quanto è chiamato a svolgere il Responsabile del trattamento e del suo delicato compito nella gestione delle direttive impartite dal Titolare sulla gestione dei dati, si precisa che quest’ultimo ha la possibilità di procedere a controlli sull’operato del Responsabile, direttamente o mediante l’intervento di un consulente esterno o del Data Protection Officer. La complessità dell’argomento e il desiderio di offrire una conoscenza il più completa possibile ai nostri lettori ci spinge a dar loro appuntamento al prossimo articolo, ove tratteremo questi ed altri aspetti riguardanti il rapporto del Data Processor con gli altri attori che agiscono nel panorama della Protezione Dati.