Il Responsabile del trattamento è nominato, come previsto dall’art. 28, comma 3 del GDPR, dal Titolare del trattamento attraverso un contratto di nomina (o altro atto giuridico idoneo a norma del diritto dell’Unione Europea o degli Stati membri) che dovrà essere redatto in forma scritta, anche in formato elettronico, e dovrà disciplinare i seguenti elementi:
- oggetto, durata, natura e finalità del trattamento;
- le categorie di soggetti interessati e il tipo di dati personali oggetto del trattamento;
- gli obblighi e i diritti del titolare del trattamento.
Come precisato nel Parere n. 01/2010 del “Gruppo di lavoro ex art. 29”, la nomina di un Responsabile del trattamento dei dati dipende da una decisione presa direttamente dal Titolare del trattamento. Questi può infatti decidere di trattare i dati all’interno della propria organizzazione, oppure delegare tutte o una parte delle attività di trattamento a un soggetto esterno.
Per poter agire come Responsabile del trattamento occorrono quindi due requisiti: da un lato, essere un soggetto distinto dal Titolare del trattamento e, dall’altro lato, la capacità di elaborare i dati personali per conto di quest’ultimo. Questa attività di trattamento può essere limitata a un compito o a un contesto molto specifico, oppure può lasciare al responsabile un certo margine di discrezionalità sul modo di servire gli interessi del Titolare del trattamento, permettendogli, ad esempio, di scegliere autonomamente i mezzi tecnici e organizzativi più adeguati.
Si ricorda, inoltre, che, come previsto per il titolare (sul punto si veda l’articolo dedicato all’argomento) anche il responsabile non stabilito nell’Unione Europea dovrà designare un suo rappresentante all’interno di uno degli Stati membri. L’art. 27, paragrafo 3 del GDPR si applica infatti nel caso in cui il Titolare o il Responsabile del trattamento siano stabiliti in territorio extraeuropeo.
Anche per il responsabile, peraltro, l’individuazione di un rappresentante situato nel territorio europeo viene meno in alcune ipotesi particolari, che non richiedono livelli così elevati di tutela. In particolare, ciò si verifica quando: il trattamento è occasionale, non coinvolge dati “sensibili” (ad esempio dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, biometrici o relativi allo stato di salute o all’orientamento sessuale della persona), o dati personali relativi a condanne penali o a reati consistenti nell’illiceità del trattamento dei dati, ed è improbabile che comporti un rischio per i diritti e le libertà delle persone in considerazione della natura, del contesto, dell’ambito di applicazione e delle finalità del trattamento stesso; oppure quando il titolare del trattamento è un’autorità pubblica o comunque un organismo pubblico.
Se presente, comunque, il rappresentante del Responsabile del trattamento stabilito in un paese extra-europeo dovrà essere stabilito in uno degli Stati membri in cui si trovano i soggetti interessati i cui dati personali sono trattati nel contesto di un’offerta di beni o servizi o il cui comportamento è monitorato.
Per agevolare la comunicazione con i soggetti interessati e con le autorità è poi previsto che il rappresentante possa porsi quale interlocutore nei rapporti con le autorità di controllo nazionali e anche con gli interessati per tutte le questioni relative al trattamento dei dati personali.
Una novità importante rispetto alla disciplina del Codice della Privacy è quella che riguarda la possibilità per il Responsabile di nominare dei sub-responsabili del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare (art. 28 del GDPR).
A questo proposito, è previsto che il Responsabile del trattamento possa ricorrere ad un altro responsabile solo previa autorizzazione scritta (che può essere, però, sia specifica che generale) del Titolare del trattamento (comma 2, art. 28. GDPR: “Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche”). L’eventuale nomina di uno o più sub-responsabili del trattamento (attraverso un contratto o altro atto giuridico previsto a norma del diritto dell’Unione europea o dei singoli stati membri) dovrà avvenire nel rispetto degli stessi obblighi in materia di protezione dei dati sanciti in capo al Responsabile “primario” del trattamento (comma 4 dell’art. 28 GDPR: “Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in
particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile”). In particolare, dovranno essere previste sufficienti garanzie che consentano di attuare le misure tecniche e organizzative più adeguate al fine di soddisfare i requisiti previsti dal Regolamento.
Il Responsabile del trattamento, nel caso in cui vi sia un’autorizzazione scritta generale da parte del titolare, dovrà sempre informare quest’ultimo di eventuali modifiche relative all’aggiunta o alla sostituzione degli eventuali sub-responsabili, dandogli in questo modo l’opportunità di opporsi alle modifiche. Tale comunicazione è importante per lo stesso responsabile che intende nominare altri soggetti, in quanto è sempre il Responsabile “primario” che risponde dinanzi al Titolare dell’eventuale inadempimento del sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, a meno che riesca a dimostrare che l’evento dannoso “non gli è in alcun modo imputabile”.