Informazioni su questo modello legale

Cos’è la nomina del responsabile di trattamento dei dati personali

La nomina del responsabile di trattamento dei dati personali è l'atto con il quale un soggetto esterno viene incaricato di trattare i dati personali per conto del titolare del trattamento. Il titolare del trattamento è il soggetto che determina le finalità e le modalità di trattamento dei dati raccolti. Il responsabile di trattamento dei dati elabora i dati per conto del titolare e può essere una persona fisica, giuridica, pubblica amministrazione o ente (come disciplinato dal Regolamento Europeo n. 2016/679 o GDPR).

La GDPR stabilisce che nell'atto di nomina il titolare deve specificare: oggetto dell'incarico, durata, natura e finalità del trattamento, tipologie dei dati trattati, categoria degli interessati, obblighi e diritti del titolare.

La nomina del responsabile rientra tra le misure di sicurezza, tecniche e organizzative che il titolare di trattamento deve attuare per garantire un livello di sicurezza adeguato ed evitare il rischio di violazione dei dati personali. Infatti, dato che spesso il titolare non è in grado di occuparsi degli aspetti pratici del trattamento, è necessaria la nomina di uno o più responsabili di trattamento. L'atto di nomina, in questi casi, rappresenta la prova di aver adottato le misure di sicurezza idonee richieste dalla normativa, in caso di controllo da parte delle autorità competenti.

Il responsabile di trattamento dei dati deve essere un soggetto esterno all'azienda, non può essere alle dipendenze del titolare e deve garantire esperienza in materia di privacy, affidabilità (per esempio, non deve avere condanne a suo carico) e capacità di attuare le misure tecniche e organizzative stabilite dalla GDPR.

Quando si deve nominare il responsabile di trattamento dei dati personali

La nomina del responsabile del trattamento dei dati va fatta ogni volta che la raccolta dei dati viene effettuata da un soggetto esterno per conto del titolare. Il caso tipico è l'azienda che incarica dei soggetti esterni che, svolgendo le attività richieste, trattano i dati per conto del titolare. Ad esempio, quando un soggetto esterno incaricato di di elaborare le buste paga di un'azienda, tratta i dati personali dei dipendenti per conto del titolare.

Inoltre, il responsabile del trattamento può nominare un sub-responsabile se il titolare lo ha autorizzato nell'atto di nomina. La nomina del sub-responsabile deve essere fatta con un contratto, o altro atto giuridico, nel rispetto degli obblighi imposti al responsabile. Ogni volta in cui viene nominato o modificato un sub-responsabile, il responsabile dovrà avvisare il titolare. Il responsabile risponde dell’operato del sub-responsabile, a meno che non riesca a dimostrare che il danno non è a lui imputabile.

Responsabilità e obblighi del responsabile di trattamento

Il responsabile di trattamento può incorrere nelle sanzioni previste dalla normativa (ad es. sanzioni amministrative, penali, risarcimento del danno, etc.) quando:

  • non tratta i dati secondo le istruzioni del titolare (in questo caso diventa lui stesso titolare di trattamento)
  • non vincola alla riservatezza le persone autorizzate al trattamento
  • non assiste il titolare, ad esempio nei casi di violazione dei dati o nella valutazione di impatto
  • non mette a disposizione del titolare le informazioni necessarie per dimostrare il rispetto degli obblighi a cui è tenuto e non partecipi alle attività di revisione o di ispezione
  • non cancella o restituisce i dati personali al termine del trattamento su richiesta del titolare
  • non informa il titolare che una sua istruzione viola la normativa
  • non avvisa il titolare della violazione dei dati
  • non coopera con l'autorità di vigilanza
  • non designa il DPO se ne è obbligato
  • designa un sub-responsabile senza autorizzazione o quando il sub-responsabile non ha le garanzie sufficienti per quel ruolo
  • non adotta il registro dei trattamenti e non lo tiene aggiornato. 

Per contro, il titolare e il responsabile sono esonerati da responsabilità se dimostrano che l'evento dannoso non è imputabile alla loro condotta o se dimostrano di aver adottato tutte le misure idonee per evitare il danno. Inoltre, il titolare deve vigilare sull'osservanza puntuale delle istruzioni date al responsabile onde evitare una propria responsabilità e onerose sanzioni per i danni causati.

La nostra consulenza per la nomina del responsabile di trattamento dei dati

LexDo.it offre una consulenza con avvocati esperti di normativa privacy per redigere il contratto di nomina a responsabile di trattamento. Ecco come funziona:

  1. Consulenza con un avvocato esperto in privacy
    Potrai descrivere la tua situazione ad un esperto che identificherà le informazioni necessarie per il tuo caso specifico. In questa fase si dovranno raccogliere le informazioni sull'organizzazione del titolare, sui fornitori, sui dati trattati, sui trattamenti e finalità, sulle misure di sicurezza adottate
  2. Redazione del contratto di nomina di responsabile di trattamento
    Dopo aver inquadrato e raccolto le informazioni, l'avvocato procederà con la redazione del documento di nomina di uno o più responsabili di trattamento.

Altri strumenti utili in materia di privacy

Tutti i documenti necessari in tema di privacy potranno essere creati, in pochi minuti, in modo personalizzato direttamente su LexDo.it:

RICHIEDI CONSULENZARICHIEDI CONSULENZA