Responsabile della protezione dei dati personali DPO o RPD sono lo stesso soggetto, ma il Responsabile della protezione NON è il Responsabile del trattamento

Diritto

Responsabile della protezione dei dati personali DPO o RPD sono lo stesso soggetto, ma il Responsabile della protezione NON è il Responsabile del trattamento

Il GDPR definisce due differenti soggetti, usando per entrambi la medesima terminologia di responsabile, ma con due diverse specificazioni: uno è il Responsabile del Trattamento, l’altro è il Responsabile della Protezione dei Dati personali anche definito con l’acronimo italiano RPD o con quello inglese DPO (che sta per Data Protection Officer, appunto Responsabile della Protezione dei dati).
Figura ancora diversa è poi il Responsabile del trattamento designato all’interno di un’azienda in base al vigente D. Lgs. n. 196/2003.

Prima di chiarire precisamente compiti e funzioni di queste figure, riportiamo 4 postulati da tenere bene a mente:

Responsabile della Protezione dei Dati personali (DPO o anche detto RPD) e Responsabile del trattamento sono due figure diametralmente diverse, con ruoli diversi, responsabilità diverse e compiti diversi, disciplinate dal GDPR in articoli e disposizioni diverse;
Il Responsabile della Protezione dei Dati personali NON è il Responsabile del trattamento previsto dal GDPR;
Il Responsabile del trattamento secondo la disciplina del D. Lgs. n. 196/2003 nominato internamente NON è il Responsabile della Protezione dei Dati personali (DPO o RPD, che dir si voglia);
Il Responsabile del trattamento previsto dal GDPR NON è il Responsabile del trattamento disciplinato dal D. Lgs. n. 196/2003.

Responsabile del trattamento in base al GDPR

Il responsabile del trattamento è definito dal Regolamento UE all’art. 4 lett. g, come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Quindi, se il titolare del trattamento esternalizza un servizio affidandolo ad un soggetto terzo e nell’ambito di tale servizio gli affida anche dati personali, il soggetto terzo che svolge il servizio per conto del titolare è il responsabile del trattamento, ma non è tutto così scontato.

Riportiamo di seguito degli esempi per meglio comprendere tale ruolo.

Esempio 1. Nell’ambito della nostra attività d’impresa, nel nostro ruolo di titolari del trattamento, ci avvaliamo di un hosting provider, una società esterna che ci offre anche servizi di posta elettronica, l’hosting provider, anche semplicemente per effettuare attività di manutenzione dei server su cui è allocato il nostro sito web o la nostra casella email, potrebbe entrare in contatto con i dati personali di nostri clienti, fornitori, dipendenti, quindi l’hosting provider in base al GDPR è un responsabile del trattamento e deve essere designato come tale attraverso la stipulazione di un contratto (o altro atto giuridico) con il titolare del trattamento.

Esempio 2. Ci avvaliamo di una società esterna che cura le attività di marketing per conto della nostra azienda, la società di marketing entrerà in contatto con i dati personali di nostri potenziali clienti per effettuare ad esempio campagne di email marketing o per somministrare questionari i cui risultati verranno utilizzati per finalità promozionali o curare la nostra fan page sui social: la società di marketing è responsabile del trattamento fino a che non determina essa stessa le finalità del trattamento, se la società di marketing contribuisce a determinare gli scopi del trattamento e i mezzi e le vengono impartite solo direttive generali dal titolare del trattamento, si instaura tra azienda di marketing e azienda sua cliente un rapporto di contitolarità, perché nell’ambito del servizio affidatole, è vero che tratta dati personali per conto del titolare del trattamento, ma ne determina autonomamente le finalità e le modalità di trattamento, diverso è il caso della società di marketing cui affidiamo dati personali di nostri clienti impartendole istruzioni ben precise sulle operazioni da svolgere con quei dati personali e su quei dati personali, in tal caso il suo ruolo rispetto al titolare per conto del quale svolge il servizio è quello di responsabile del trattamento.

Esempio 3. Un titolare del trattamento di dati personali che esternalizzando alcune delle operazioni di customer service ad un call center, ordina allo stesso di presentarsi utilizzando la sua identità quando chiama i clienti o quando i clienti lo chiamano, deve designare il call center responsabile del trattamento. In questo caso, il modo in cui il titolare si presenta ai clienti attraverso la società di outsourcing, l’assenza di trasparenza nei confronti del cliente finale che quando chiama o invia una email si aspetta che gli risponda l’azienda titolare del trattamento e il livello di controllo che il titolare ha sul call center cui ha affidato il servizio, portano alla conclusione che la società di outsourcing agisce come un responsabile di dati per (per conto del) il titolare.

Esempio 4. La nostra forza vendita. Se abbiamo agenti che trattano dati personali per nostro conto, sono responsabili del trattamento, nella misura in cui noi, in qualità di titolari del trattamento, gli impartiamo istruzioni, gli formiamo, gli puntualizziamo come devono agire, gli indichiamo i potenziali clienti da contattare ed essi si presentano a tali clienti a nostro nome (quindi forniamo loro un tesserino con il nostro marchio, nostre brochure, nostre business card); diversamente, se tali agenti hanno una propria autonomia, e indipendenza nella scelta del cliente e su come operare e contattano essi stessi i clienti, si crea con il titolare un rapporto di contitolarità.

Si comprende bene come nel capire se un fornitore che tratta dati personali per conto del titolare è responsabile del trattamento non esistano regole univoche, ma sia necessario effettuare valutazioni caso per caso e ciò viene meglio chiarito nel parere “Opinion” n. 1/2010 del WP29, dove il Gruppo ex art. 29 fornisce dei validi criteri per analizzare la situazione concreta. Nello specifico, è opportuno dunque valutare:

il livello di istruzioni impartite dal cliente al fornitore di servizi: quale margine di manovra ha sui dati il fornitore di servizi per fornire il suo servizio?
la portata del monitoraggio sull’esecuzione del servizio: in che misura il cliente “supervisiona” il servizio fornito dal fornitore?
il valore aggiunto fornito dal fornitore di servizi: il fornitore di servizi vanta una competenza specifica nel settore?
il livello di trasparenza sull’uso di un fornitore di servizi: l’identità del fornitore di servizi è nota agli interessati che utilizzano i servizi del cliente?

Tirando le fila del discorso, il titolare del trattamento è il soggetto che determina finalità e modalità del trattamento, il responsabile del trattamento tratta dati personali per conto del titolare e solo sulle istruzioni da questo impartite, ha un margine di autonomia ridotto, il suo cliente controlla e vigila sul suo operato, non interviene su finalità e modalità del trattamento dei dati personali affidatigli.
Il GDPR si rivolge a tale figura in molti articoli e considerando, anche con sanzioni direttamente applicabili a tale soggetto. L’articolo specificamente dedicato al responsabile del trattamento è l’art. 28, in cui si chiarisce che il titolare del trattamento deve scegliere opportunamente i soggetti terzi di cui si avvale, in quanto deve ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell'interessato.

Come regolare il rapporto tra titolare del trattamento e responsabile del trattamento

Il responsabile del trattamento di cui un titolare si avvale, non può a sua volta ricorrere ad altre figure terze cui trasferire attività di trattamento e quindi i dati personali che tratta per conto del titolare del trattamento se non ha ottenuto autorizzazione scritta da parte del titolare stesso. Il rapporto tra titolare e responsabile del trattamento è regolato da un contratto o altro atto giuridico che vincola il responsabile del trattamento al titolare del trattamento e che disciplina la materia oggetto dell’accordo e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto, da stipulare in forma scritta, anche elettronica, deve riportare, inoltre, una serie di clausole specificamente riportate in elenco all’art. 28, esattamente al comma 3. Il responsabile del trattamento che su consenso espresso del titolare ricorre ad un altro responsabile del trattamento (subresponsabile), per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, deve stipulare con il subresponsabile un contratto o un altro atto giuridico in cui gli impone di rispettare gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico che egli ha stipulato con il titolare, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento. Qualora il subresponsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi del subresponsabile, salvo poi rivalersi su di lui.

Obblighi e responsabilità del responsabile del trattamento

Anche il responsabile del trattamento, al pari del titolare, qualora abbia più di 250 dipendenti o effettui trattamenti che possono presentare un rischio per i diritti e le libertà degli interessati, effettui trattamenti su dati particolari (dati biometrici, sanitari, relativi ad opinioni politiche, etnia, abitudini sessuali o opinioni filosofiche o religiose) o dati relativi a condanne penali o reati, è tenuto a redigere e conservare un registro di tutte le categorie di dati trattati e le attività relative al trattamento svolte per conto di un titolare del trattamento (cfr. art. 30 comma 2).

Il responsabile del trattamento deve predisporre misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio, nel rispetto di quanto previsto dall’art. 32 del GDPR.

Nel caso in cui si verifichi una violazione sui dati personali trattati per conto del titolare del trattamento, il responsabile del trattamento è tenuto ad informare il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione (art. 33 comma 2).

Il responsabile del trattamento risponde in prima persona dei danni materiali o immateriali provocati da una violazione sui dati personali dovuta ad una sua mancanza, rispondendo per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del regolamento specificatamente a lui riferiti o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. L’onere della prova resta comunque a suo carico (art. 82).

Le sanzioni di natura amministrativa previste dall’art. 83 comma 4 e comma 6 si riferiscono non solo al titolare del trattamento, ma anche al responsabile del trattamento che abbia violato gli obblighi imposti dal GDPR.

Responsabile del trattamento interno già nominato in base al D. Lgs. n. 196/2003

Il D. Lgs. n. 196/2003, attualmente in vigore, prevede all’art. 29 la facoltà per il titolare del trattamento di nominare un Responsabile del trattamento, figura che poteva essere tanto interna quanto esterna; questa facoltà di nomina oggi con il GDPR si è trasformata in un obbligo che come abbiamo visto sussiste tutte le volte che un titolare del trattamento si avvale di un terzo che per suo conto tratta dati personali. Cosa ne è dunque oggi del Responsabile del trattamento designato internamente in base al Decreto n. 196? Tale figura potrebbe essere fatta rientrare in quelle che sono definite dal GDPR soggetti “autorizzati al trattamento”. Ma occorre una precisazione. In realtà, in tale definizione, rientrano propriamente i vecchi incaricati, la cui nomina, se conforme al D. Lgs. n. 196/2003, secondo anche quanto stabilito dal Garante, resta valida perché ritenuta fedele ai principi del GDPR. Ad ogni modo, la norma europea non vieta al titolare o responsabile del trattamento di individuare figure interne con funzioni di responsabilità relativamente al trattamento dei dati personali (ad esempio in realtà organizzative più grandi), anche questi soggetti possono essere quindi “autorizzati al trattamento” con livelli di responsabilità e controllo più alti rispetto a quelli attribuiti ai semplici incaricati e le nomine già effettuate potrebbero anche restare in vita, se conformi alle norme e ai provvedimenti del Garante. In ogni caso, si consiglia di modificare la nomenclatura sinora utilizzata nelle designazioni di figure interne per evitare confusioni, in particolare in relazione al Responsabile del trattamento interno, in quanto, abbiamo chiarito che il responsabile del trattamento secondo il GDPR è un soggetto terzo rispetto al titolare del trattamento (non interno), ha doveri diversi e la sua designazione è obbligatoriamente prevista nei casi stabiliti dalla norma europea, a differenza del responsabile del trattamento di cui al D. Lgs. n. 196/2003 che può essere designato facoltativamente e può anche essere un soggetto interno alla realtà che lo nomina. Il GDPR, infatti, si sofferma molto sulla figura del responsabile del trattamento tanto da affiancarlo spesso al titolare e attribuirgli specifiche responsabilità e sanzioni sue proprie, cosa che invece non accade nel Decreto n. 196, dove la responsabilità del responsabile del trattamento è conservata nel rapporto che questi ha con il titolare.

Responsabile della protezione dei dati personali (DPO o anche detto RPD)

Abbiamo stabilito in premessa che la figura del Responsabile della Protezione dei Dati personali è altro rispetto al Responsabile del trattamento. Il DPO è infatti disciplinato dagli artt. 37 e seguenti del GDPR. Si tratta di una figura che deve essere designata dal titolare, ma anche dal responsabile del trattamento quando essi rientrino nei casi stabiliti dalla norma. Nello specifico, il titolare del trattamento e il responsabile del trattamento designano un Responsabile della Protezione quando:

il titolare del trattamento o il responsabile del trattamento è un’autorità pubblica o un organismo pubblico, ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui particolari all’articolo 9 (ex dati sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10 del GDPR.

Da questa disposizione si comprende bene che Responsabile del trattamento e Responsabile della Protezione sono due figure diverse, meglio: il Responsabile del Trattamento che rientri nei casi suddetti deve nominare un Responsabile della Protezione.

Tale Responsabile della Protezione dei dati può essere un dipendente del titolare del trattamento o del Responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi, quindi può essere anche un soggetto terzo (società di servizi o libero professionista). La scelta è rimessa al titolare o responsabile del trattamento, con la condizione che se si opta per un’azienda di servizi, è necessario in ogni caso affidare l’incarico specifico ad un soggetto persona fisica (in sostanza, stipulo il contratto di servizi con l’azienda, nomino nell’ambito di questo contratto, un loro collaboratore come mio DPO).

Chi è il responsabile della protezione (DPO o RPD)?

Innanzitutto, è un soggetto che:

deve essere coinvolto in tutte le questioni afferenti il trattamento dei dati personali;
deve essere scelto sulla base di conoscenze effettive della norma e delle prassi in materia di trattamento dati personali;
gli devono essere fornite adeguate risorse per svolgere il suo incarico (sia in termini economici che organizzativi) e per aggiornarsi;
deve svolgere i suoi compiti in piena autonomia, senza ricevere alcuna istruzione in materia di dati personali da parte del titolare del trattamento o del responsabile del trattamento se da questi designato, ciò significa inoltre che non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti, se ha delle opinioni o esprime dei pareri diversi in materia di trattamento dati personali;
riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento, pertanto deve trattarsi di un soggetto di livello manageriale o dirigenziale;
deve rispettare il segreto professionale e la riservatezza in merito ai propri compiti in materia di trattamento dati personali;
può essere un soggetto che all’interno dell’azienda svolge anche altri compiti, sempre che questi non siano conflittuali con il suo ruolo di responsabile della protezione (in relazione a tale ultimo punto, può dirsi pertanto che tale incarico non può essere assegnato al direttore marketing o al direttore delle risorse umane o al direttore commerciale, né a qualsiasi altra figura interna che abbia in qualche modo poteri decisori relativamente ai dati personali o che potrebbero influire sul trattamento degli stessi).

Quali sono i suoi compiti?

I compiti del DPO o Responsabile della protezione dei dati sono delineati all’art. 39 del GDPR, egli deve in sostanza:

informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento e ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;
sorvegliare l’osservanza del regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati e delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;
cooperare con l’autorità di controllo e
fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento.

Nell’eseguire i propri compiti il Responsabile della Protezione dei dati deve considerare opportunamente i rischi inerenti al trattamento tenendo presente il contesto, la natura, l’ambito di applicazione e le finalità del trattamento.

Come comunicare il nominativo del DPO al Garante

I dati e il nominativo del Responsabile della Protezione devono essere resi noti agli interessati, anche eventualmente pubblicandoli sul sito internet del titolare o responsabile del trattamento e comunicati al Garante della Privacy (art. 37 GDPR). A tal proposito, il Garante ha messo a disposizione un modulo in cui sono presenti tutte le informazioni necessarie ad effettuare correttamente tale comunicazione, sebbene con proprio provvedimento, ha informato tutti i titolari e responsabili del trattamento tenuti alla designazione del DPO che tale modulo è utile solo a prendere confidenza con le informazioni da indicare, in attesa che sia creata l’apposita pagina web sul sito istituzionale del Garante in cui ci si potrà registrare e procedere alla comunicazione direttamente compilando il form online. Quindi, coloro che dovranno ottemperare a tale obbligo, sono tenuti ad attendere la creazione e pubblicazione della pagina web dedicata alla comunicazione dei dati del DPO; nel frattempo potranno visionare il modulo predisposto dal Garante per capire quali dati e informazioni andranno comunicate.