Regolamento Europeo per la protezione dei dati: ruoli, nomine, contratti e mandati

di Merati Andrea, Consulente sistemi di gestione aziendale 

Il Regolamento europeo (GDPR n. 679/2016) già di suo ha qualche difetto: i temi sono affrontati in articoli diversi e approfonditi nei considerando, rendendo scarsamente omogenea l’interpretazione di principi e indicazioni; inoltre la traduzione in italiano è densa di errori, alcuni trascurabili, altri no (su tutti la scelta discutibile – anche l’Accademia della Crusca l’ha accettato – di tradurre il termine audit in tre modi diversi, dei quali due sicuramente sbagliati dal punto di vista tecnico).

Parlamento e Governo aggiungono confusione: il primo ha dato tempo al secondo di emettere il Decreto di adeguamento fino al 20 maggio 2018, immaginando che le organizzazioni possano leggerlo, comprenderlo e applicarlo in quattro giorni; il secondo emette una bozza di decreto il 21 marzo 2018 che, contrariamente a ciò che il Parlamento ha richiesto, abroga il Codice Privacy n. 196/2003, a favore di una soluzione che non sembra risolvere la maggior parte degli interrogativi e qualcuno vede come incostituzionale.

Per completare il quadro, il Garante, che avrebbe dovuto emettere le linee guida inerenti i diritti del Titolare del trattamento dei dati entro febbraio 2018, ancora non le ha emanate.

Tutto ciò per ribadire che alcune parti mancano ma questo non può essere il presupposto del non fare o l’alibi per procrastinare, perché il 25 maggio, nonostante tutto, il GDPR entrerà in vigore e la maggior parte degli adempimenti è possibile.

Titolare o Responsabile?

Molte volte mi è stata posta questa domanda dai Consulenti del Lavoro (ma anche da Commercialisti, Avvocati e professionisti che offrono servizi alle imprese) e partirei col chiarire che il GDPR, con l’art. 28, insieme al suo bel considerando n. 81, indica che il Responsabile è figura distinta e diversa dal Titolare, nonché esterna e separata dall’organizzazione del Titolare, infatti al punto 3 si parla esplicitamente di contratto che disciplina i rapporti tra Titolare e Responsabile.

Quindi se un’azienda affida dati personali a un Consulente, questi assume il ruolo di Responsabile del trattamento dei dati (attenzione NON di Responsabile della Protezione dei Dati, traduzione di Data Protection Officer – DPO – che è tutt’altra posizione).

Contemporaneamente il Consulente sarà Titolare del trattamento per i dati dei propri dipendenti.

Designazioni e nomine

Ricordiamo che:

  • Il titolare – È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art 4, n. 7).
  • Il responsabile – È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (art 4, n. 8).
  • L’autorizzato – È la persona fisica a cui è permesso di compiere operazioni di trattamento sotto l’autorità diretta del titolare o del responsabile.

Per la realizzazione dell’accountability (cioè essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina – art. 24) è bene che per ciascun ruolo ci sia una designazione o una nomina formale.

Cosa deve fare il Responsabile del trattamento

Riprendendo in parte l’articolo pubblicato sul numero precedente di questa rivista, con modalità di valutazione del rischio e accountability il Responsabile dovrà necessariamente:

  1. tenere un registro delle attività di trattamento svolte sotto la propria responsabilità (art. 30);
  2. formare e istruire i soggetti autorizzati al trattamento dei dati (art. 29);
  3. adottare misure tecniche e organizzative appropriate a garantire un livello di sicurezza adeguato al rischio, tenendo conto di probabilità e gravità per i diritti e le libertà delle persone fisiche (art. 32);
  4. notificare tempestivamente l’eventuale perdita o furto dei dati (Data Breach) all’Autorità garante e all’interessato (artt. 33 e 34);adeguare tutti i documenti (informative, consensi e nomine) al Regolamento;
  5. nominare un DPO (solo se necessario);
  6. effettuare la Valutazione d’impatto sulla protezione dei dati e la Consultazione preventiva (artt. 35 e 36 – solo se necessarie).

Inoltre, il contratto tra Titolare e Responsabile è regolato dal paragrafo 3 dell’art. 28, qui si richiede che siano garantite le misure sopra descritte, nonché l’obbligo di assistere il Titolare del trattamento nel garantire il rispetto degli obblighi di cui dagli artt. da 32 a 36.

Contratti e mandati

Il Titolare che si avvale di Responsabili del trattamento, per compiere un’adeguata valutazione del rischio e adempiere efficacemente al Regolamento europeo deve impartire le istruzioni che il Responsabile dovrà seguire, ma anche essere a conoscenza delle modalità che, concretamente, questi adotterà, nonché delle misure che implementerà per garantire che il trattamento dei dati affidatigli dal Titolare abbia le caratteristiche richieste dal GDPR.

In pratica Il Consulente dovrà ricevere istruzioni dall’azienda cliente e condividere con la stessa le sue modalità di attuazione del Regolamento europeo, tramite un contratto ad hoc oppure con indicazioni inserite nel contratto, incarico o mandato professionale di consulenza.

Per questa problematica non esistono indicazioni determinanti, e molto è legato alle modalità di attuazione del Regolamento da parte di aziende e Consulenti; sicuramente ogni professionista potrà determinare le dinamiche sottostanti a seconda del grado di influenza che ha sui propri clienti, perché possa rendere il più possibile omogenea la modalità di trattamento per tutti i clienti, magari con poche eccezioni per le aziende con esigenze particolari per tipologia di attività o per appartenenza a grandi gruppi o a multinazionali (soprattutto se avessero emanato un Codice di condotta – art. 40 – o un meccanismo di certificazione – art. 42).

Rimane da dirimere il dubbio se il Consulente sia tenuto a far firmare un nuovo contratto o mandato a tutti i suoi clienti con i quali ha un rapporto già in essere e a rivedere i contratti per i servizi di cui fruisce (es. Software in cloud). Qui la risposta dipende da quanto i contratti pregressi siano in grado di soddisfare le richieste del Regolamento europeo: nel caso in cui mandati e contratti siano adeguati, sarà sufficiente inviare ai clienti e ricevere dai fornitori di servizi, l’informativa dettagliata sulle modalità di trattamento dei dati redatta in ottemperanza al GDPR.