Responsabile del Trattamento e Responsabile Protezione Dati: differenze ed interconnessione di funzioni

Il precedente numero è stato utile a condurre un’accurata analisi dei requisiti di scelta che il Titolare del trattamento deve considerare nell’individuazione di un Responsabile del trattamento, dei criteri di stesura da osservare per la redazione del “documento di affidamento” e della necessaria pubblicizzazione dei nominativi dei Responsabili del trattamento in forza al Titolare.

Con questo nuovo servizio si intende porre attenzione al comportamento richiesto al Responsabile del trattamento nell’espletamento delle proprie mansioni e delle interconnessioni, che più avanti vedremo, con un altro importante soggetto che abita il campo della Protezione Dati: il Responsabile della Protezione Dati (RPD). Iniziamo col dire che il Responsabile del Trattamento – fondamentale per l’efficienza della struttura lavorativa del Titolare – risponderà direttamente della propria disattenzione nei confronti degli obblighi previsti dal Regolamento o nel caso di azione difforme,  rispetto a ciò che viene richiesto nel documento di affidamento fattogli firmare dal Titolare.

Chiaro a tal riguardo è il comma 10 dell’art. 28, che illustra le conseguenze cui incorre un Responsabile che tratti con superficialità dati personali o che, sbordando le sue competenze in materia, e dunque comportandosi da Titolare, faccia cadere lo scudo di cui è in possesso, scudo utile a garantirgli la tranquillità che gli consenta di svolgere le sue funzioni.

Il Responsabile del trattamento adempie solo quanto chiesto dal Titolare?

Apparentemente la risposta è sì! In realtà questo soggetto assume anche un altro ed importante ruolo nel panorama degli attori privacy. Difatti il Responsabile del trattamento diventa un pilastro indispensabile per costruire un rapporto costruttivo fra il Titolare e le Autorità di controllo che dovessero avanzare richieste di chiarimenti alla realtà lavorativa o nei casi in cui dovessero verificarsi attività ispettive. Doveroso risulta precisare che in tali casi chiamato ad intervenire non sarà soltanto il Responsabile del trattamento, interno o esterno che sia, ma anche il Responsabile della Protezione dati, allargando così il ventaglio dei soggetti coinvolti nelle dinamiche sulla protezione dei dati.

Responsabile del trattamento e Responsabile Protezione dati: preferibile l’uno o l’altro?

L’apparente assonanza linguistica potrebbe far pensare che le due figure operino in maniera analoga, potendo essere dunque interscambiabili tra loro. La realtà non è assolutamente questa. A confermarlo saranno i caratteri e le differenze che di seguito tratteremo. Cominciamo col ribadire che il Responsabile del trattamento è il soggetto al quale vengono delegati trattamenti da parte del Titolare, sia nel caso di dipendente che di consulente esterno. Il Responsabile della Protezione Dati – che ricordiamo anch’esso poter essere interno od esterno alla struttura del Titolare – è invece chiamato a garantire la correttezza e adeguatezza della normativa nel contesto lavorativo ove opera, non essendo quindi soggetto a deleghe del Titolare.

Facciamo zoom sulla questione: nel caso del primo – Responsabile del trattamento – sarà la necessità del Titolare a richiedere la nomina interna o esterna dello stesso, fornendo le indicazioni del caso cui lo stesso dovrà scrupolosamente attenersi nello svolgimento delle sue mansioni. Situazione analoga non riguarda il secondo – Responsabile della Protezione dei Dati – il cui incarico potrà essere sì affidato ad un interno o esterno alla struttura del Titolare, ma a questi bisognerà garantire autonomia e indipendenza.

Tale inciso assume robustezza grazie al Considerando 97 del Regolamento ove si dice: “i Responsabili della Protezione Dati dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”. Possiamo quindi dire che un Responsabile del Trattamento non può agire autonomamente nello svolgimento delle sue mansioni, contravvenendo le indicazioni dategli dal Titolare! Contrariamente, un Responsabile della Protezione Dati può disattendere le idee del Titolare del trattamento se in gioco è la Protezione dei Dati alla luce della normativa di settore, restando ovviamente in capo al Titolare la responsabilità della mancata attuazione degli obblighi previsti.

Data quindi la non sovrapponibilità delle due figure, al Responsabile del Trattamento esterno si richiede di nominare il Responsabile della Protezione Dati?

Quando il Responsabile del Trattamento è un soggetto esterno alla realtà lavorativa, sorge il dubbio se questi debba nominare un proprio Responsabile del Trattamento. Caso concreto: un Commercialista, un Consulente del Lavoro o ancora uno Studio di Medicina del Lavoro devono nominare un proprio RPD? La risposta è affermativa, considerato che in tal modo devono agire tutti coloro che fanno un uso massivo di dati per conto del Titolare del trattamento.

Quando è obbligatorio nominare il RPD? Con un documento di affidamento?

Si ricordi che la nomina del RPD è obbligatoria per tutte le autorità e i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale effettuino un monitoraggio regolare su larga scala delle persone fisiche o che trattino su larga scala categorie particolari di dati personali. Da ciò si può chiaramente dedurre che un’attività commerciale al dettaglio che non tratta alcun tipo di dati personali del compratore non ha alcun obbligo di nominare il Responsabile della Protezione Dati.

Quanto alla disciplina dell’incarico si è visto che per il Responsabile del Trattamento si procede con documento di affidamento del Titolare, ove si disciplinano requisiti, soggetti coinvolti, durata del trattamento, finalità, natura del trattamento, tipologia di dati, categorie di interessati, termini del rapporto contrattuale. In modo analogo si può procedere per la designazione del RPD, con la necessaria precisazione che la designazione del RPD deve essere oggetto di comunicazione al Garante per la Protezione dei Dati Personali, quale Autorità di Controllo.

Le collaborazioni che animano il compito del Responsabile del trattamento non si esauriscono nell’interazione col Titolare e col RPD, si arricchiscono bensì del rapporto con un altro soggetto: l’Autorizzato al Trattamento dei dati. Di questa figura e delle modalità di interazione col Responsabile del trattamento daremo ampio spazio nei prossimi numeri.