<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=50912&amp;fmt=gif">
Blog GDPR

Responsabile trattamento dati GDPR: stai rispettando l’art. 28?

[fa icon="calendar"] 11-mar-2019 17.52.12 / da Alberto Indani

Responsabile trattamento dati GDPR: stai rispettando l’art. 28?

Ti sei mai chiesto chi è la figura del responsabile del trattamento dei dati (secondo l’art. 28 del GDPR) all’interno della tua azienda? Che tu raccolga dati sensibili o che faccia attività di marketing volte alla profilazione dei contatti, è importante capire quali sono le responsabilità e le sanzioni in cui può incorrere il responsabile del trattamento.

Partiamo dalle basi, secondo il Comm.1 dell’art. 28:

“Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento […]”

Il comma 1 dell’art 28 ci spiega che se un’attività che normalmente è in capo al titolare del trattamento (ossia al rappresentante legale di un’azienda), non viene svolta dallo stesso, ma da un suo collaboratore (ad esempio il consulente per le buste paga dei dipendenti o il commercialista), quest'ultimo deve essere identificato come responsabile del trattamento.


Cosa comporta l’art. 28 del GDPR al comm. 3 ?

Implica il fatto che l’azienda deve dare una prova scritta (tramite una nomina, un contratto o un altro atto giuridico):

  • dei trattamenti che sono svolti dal responsabile del trattamento,
  • della durata del trattamento,
  • della natura e delle finalità del trattamento,
  • della tipologia dei dati trattati e delle categorie di interessati,
  • degli obblighi e diritti in capo al titolare del trattamento.

Come faccio a identificare quali dei miei collaboratori sono dei responsabili esterni?

In primis il mio consiglio è quello di prendere in mano il contratto di servizi stipulato e di verificare se ci sono clausole che rimandano all’argomento privacy. Fatto ciò si dovranno verificate le reali attività previste e, di conseguenza, se l’attività implica un trattamento di dati oppure no.

Casi particolari

Prendiamo come esempio il tecnico del computer che accede da remoto per sistemare un errore nel sistema e nello svolgere la sua attività si trova davanti dei dati particolari: il tecnico è da considerare come responsabile del trattamento?

In questo caso no, in quanto l’attività che svolge non interessa dati personali, ossia non esegue un trattamento del dato, la sua attività si limita a un controllo del sistema informatico. Ad ogni modo, in casi come questo si consiglia l’invio di una lettera di riservatezza.


L’avvocato invece, è da nominare come responsabile esterno?

L’Avvocato, il consulente per le buste paga dei nostri dipendenti o il nostro commercialista sono tutti da nominare quali responsabili del trattamento perché svolgono a tutti gli effetti attività volte al trattamento dei dati quali l’anagrafica dei dipendenti, il conteggio delle ore di lavoro e molto altro.

Ovviamente il nostro responsabile del trattamento ha dei limiti nello svolgere la tua attività, limiti che sono imposti dal titolare del trattamento nel momento in cui stabilisce le metodologie del trattamento e i mezzi da adottare. Qualora un responsabile violi le disposizioni previste, non verrà più considerato responsabile, ma titolare (vedi art. 28 comma 10).

Attenzione poi a non confondere l'identificazione del responsabile del trattamento con l'informativa privacy, errore comune che molte aziende fanno. Stiamo parlando in entrambi i casi di documenti inerenti alla privacy, ma il primo è un contratto da cui derivano funzioni e responsabilità, l'altro è un adempimento a scopo informativo. Per distinguere le 2 fattispecie in modo semplice basta individuare il riferimento normativo:

  • se è richiamato l'art 28, parleremo di responsabile del trattamento.
  • altrimenti, se indicati gli art 13 e 14, si tratterà di informativa.

Capire quale dei nostri collaboratori può essere inquadrato come responsabile del trattamento non è semplice. Ci sono molti aspetti da valutare e analisi giuridiche specifiche da considerare.

La soluzione più semplice, potrebbe essere quella di nominare a ruota libera tutti i nostri collaboratori quali responsabili. Considera però che le responsabilità derivanti da questa nomina, sono pur sempre oggetto di contratto con valore legale a tutti gli effetti... meglio non abusarne!


Viste inoltre le salate sanzioni previste in caso di violazione dalla normativa in materia di privacy, noi ti offriamo una consulenza gratuita in materia GDPR.  Clicca qui sotto per metterti in contatto con un nostro esperto privacy.

Consulenza Privacy

Categorie: Regolamento Privacy

Alberto Indani

Scritto da Alberto Indani

Privacy Specialist Esperto in materia privacy.