Come nel caso del titolare del trattamento, anche la figura del responsabile del trattamento -sotto il profilo delle sue caratteristiche soggettive e delle sue responsabilità- è definito dal GDPR negli stessi termini già previsti dalla Direttiva 95/46/CE e dal Codice Privacy.
In particolare, con il termine “responsabile del trattamento” il GDPR si riferisce alla “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, paragrafo 1, n. 8). Si tratta quindi di quel soggetto che è preposto e al quale viene affidato, da parte del titolare, il trattamento dei dati personali.
Per quanto riguarda i requisiti soggettivi che il responsabile del trattamento deve possedere, il GDPR prevede che si tratti di una figura in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato (art. 28, co. 1, GDPR: “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”).
A questo proposito, come specificato dal Considerando 81, le garanzie che il responsabile del trattamento deve essere in grado di fornire si sostanziano in: una conoscenza specialistica della materia, affidabilità e possesso di risorse che permettano di attuare misure tecniche e organizzative in grado di soddisfare tutti i requisiti stabiliti dal Regolamento per il trattamento dei dati personali, anche sotto il profilo della sicurezza.
Il Responsabile del trattamento dovrà quindi avere una competenza qualificata, che potrà essere comprovata da apposita documentazione (rilasciata, ad esempio, in seguito alla frequentazione di corsi qualificati, benché non esistano attualmente particolari abilitazioni o il possesso di specifiche certificazioni). Per quanto riguarda invece il profilo dell’affidabilità, questo requisito dovrà essere fondato su aspetti etico-deontologici, che potrebbero essere dimostrati, ad esempio, con semplici autocertificazioni, anche per escludere eventuali condanne che possano essere rilevanti al riguardo.
A questo proposito, si ricorda che già il Codice della Privacy prevede, all’art. 29, comma 2, che “Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza”.
Non si ravvisano quindi particolari novità nel GDPR, se non per il fatto che il Responsabile deve disporre di sufficienti risorse per mettere in atto le misure tecniche ed organizzative che soddisfino quanto richiesto dal Regolamento. Il Responsabile deve, pertanto, avere a disposizione sufficienti disponibilità sia economiche, sia di personale, e più in generale deve poter disporre di tutti i mezzi necessari allo svolgimento dei compiti affidati dal Titolare. Nel caso in cui il Responsabile del trattamento dei dati sia un soggetto interno all’organizzazione, sarà lo stesso Titolare del trattamento a dover fornire tali risorse; se invece il servizio viene affidato all’esterno, sarà autonomamente il Responsabile nominato a prevedere adeguate risorse per lo svolgimento dell’incarico nel rispetto del GDPR.
Il Responsabile del trattamento dei dati potrebbe, come anticipato, essere tanto una figura interna all’azienda, quanto esterna. A questo proposito, il Garante della Privacy, alla luce della disciplina interna aveva precisato che: “è necessario precisare chi svolgerà l’eventuale ruolo di “responsabile del trattamento”. Conseguentemente, l’Amministrazione deve decidere se prevedere tale figura ed attribuirne la responsabilità o alla struttura esterna cui è affidata l’attività in concessione, oppure ad un dipendente di quest’ultima, o a un proprio ufficio o dipendente dell’Amministrazione stessa (quest’ultima opzione presuppone che l’ufficio o il funzionario pubblico abbiano poteri effettivi di ingerenza sulle attività e sull’organizzazione dell’impresa concessionaria: cosa, in realtà, poco frequente). In concreto, la nomina del responsabile, che deve essere effettuata in forma scritta, potrebbe essere inserita in un apposito articolo della convenzione, oppure essere oggetto di un distinto provvedimento amministrativo o atto di diritto privato”.
In realtà, altri Stati membri hanno sempre individuato questo ruolo come spettante a soggetti esterni rispetto al titolare del trattamento e l’assenza di specificazioni all’interno del GDPR sta dando luogo ad alcune divergenti interpretazioni al riguardo. D’altra parte, in assenza di ulteriori precisazioni, è opportuno ritenere che rimanga valida la facoltà di scelta, come fino ad oggi prevista dal nostro ordinamento.
Il Responsabile del trattamento è obbligato (come previsto dall’art. 28, comma 3 del GDPR), in forza del contratto stipulato con il titolare, a:
- trattare i dati personali solo sulla base di un’istruzione documentata del titolare del trattamento, anche nel caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale a meno che lo richieda il diritto dell’Unione Europea o nazionale cui è soggetto il responsabile del trattamento. In quest’ultimo caso, il responsabile del trattamento dovrà informare il titolare dell’esistenza di un tale obbligo giuridico prima del trattamento, a meno che ciò sia giuridicamente vietato per rilevanti motivi di interesse pubblico;
- garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- adottare tutte le misure richieste dall’art. 32 GDPR, ovvero le misure tecniche e organizzative necessarie al fine di garantire un livello di sicurezza adeguato al rischio (ad esempio, la pseudomizzazione dei dati o la cifratura)
- rispettare tutte le condizioni previste per l’eventuale nomina di un sub-responsabile;
- assistere il titolare del trattamento con misure tecniche e organizzative adeguate, e tenuto conto della natura del trattamento, al fine di soddisfare l’obbligo di dare seguito alle richieste per l’esercizio dei diritti dell’interessato (quali il diritto di accesso ai dati personali, il diritto di rettifica, il diritto all’oblio, il diritto alla limitazione del trattamento, il diritto alla portabilità dei dati, il diritto di opposizione);
- assistere il titolare del trattamento nel garantire il rispetto degli obblighi in materia di tutela della sicurezza dei dati, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
- cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento (su indicazione del titolare del trattamento), nonché cancellarne le eventuali copie esistenti; e infine
- mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto dei suoi obblighi, nonché contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da lui incaricato. Il responsabile deve, inoltre, informare immediatamente il titolare del trattamento ritenga che un’istruzione violi il Regolamento o altre disposizioni nazionali o di diritto europeo relative alla protezione dei dati.
Anche in capo al Responsabile del trattamento il GDPR pone l’obbligo di tenere il registro dei trattamenti svolti per conto del titolare del trattamento (art. 30, comma 2, GDPR), nel quale vanno riportate dettagliatamente una serie di indicazioni relative ai trattamenti di dati effettuati.