25 Giu

La nomina del responsabile del trattamento è un atto previsto dall’articolo 28 del GDPR quando un trattamento debba essere effettuato da un soggetto esterno all’organizzazione. Il caso forse più volte richiamato come esempio è quello del consulente del lavoro incaricato dall’azienda o del commercialista.

L’atto di nomina è rappresentato da un contratto che si collega al contratto principale e che specifica la materia disciplinata, la durata del trattamento, la natura  e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.  

L’articolo 28 dispone inoltre che il titolare del trattamento ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessatoQuesto vincolo è molto importante ma capita di frequente che sia disatteso. Spesso ci si limita a formalizzare l’atto di nomina ma non ci si preoccupa se effettivamente il soggetto nominato possegga i requisiti richiesti, in altri termini il titolare non esegue quelle verifiche sulla conformità normativa del responsabile nominato che il regolamento impone.

I rischi che ne derivano sono innanzitutto in capo al responsabile del trattamento che potrà essere sanzionato come conseguenza della violazione del GDPR ed anche nei confronti del titolare del trattamento per non aver controllato la conformità alla normativa privacy del proprio responsabile.

Il 4 aprile 2019 il Garante per la protezione dei dati personali ha emesso un provvedimento (n. 83) attraverso il quale ha comminato la sanzione di 50.000 euro a carico dell’Associazione Rousseau, quale responsabile del trattamento dell’Associazione Movimento 5 Stelle, per la violazione di cui al combinato disposto degli artt. 32 e 83 del GDPR. Questo provvedimento rappresenta ad oggi la prima sanzione applicata in Italia per la violazione del regolamento europeo ed è stata stabilita in misura “ridotta” in considerazione della natura, di associazione finalizzata all’esercizio di diritti politici dei cittadini, del trasgressore nonché il disposto di cui all’art. 22, comma 13 del decreto legislativo 10 agosto 2018, n. 101 che stabiliva un periodo di “clemenza” scaduto il 19/05/2019.

Condividi