Le nuove Regole tecniche sulla conservazione dei documenti informatici appena pubblicate in G.U. hanno dato il definitivo riconoscimento al Responsabile della Conservazione digitale e al Responsabile del trattamento dati, due professionisti IT la cui presenza è ormai obbligatoria per tutti gli enti pubblici e le aziende che gestiscono documenti informatici e fatturano elettronicamente e per i quali ANORC Professioni ha aperto i primi Registri nazionali.
3. IL RESPONSABILE
La persona fisica, giuridica, la
pubblica amministrazione e
qualsiasi ente, associazione o
organismo preposti dal titolare
del trattamento dati
Soggetto individuato per
esperienza, capacità ed
affidabilità - può essere interno o
esterno all’azienda
4. Art. 29 del Codice Privacy
Responsabile del trattamento
1. Il responsabile è designato dal titolare facoltativamente.
2. Se designato, il responsabile è individuato tra soggetti che per
esperienza, capacità ed affidabilità forniscano idonea garanzia del
pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi
compreso il profilo relativo alla sicurezza.
3. Ove necessario per esigenze organizzative, possono essere
designati responsabili più soggetti, anche mediante suddivisione di
compiti.
4. I compiti affidati al responsabile sono analiticamente specificati per
iscritto dal titolare.
5. Il responsabile effettua il trattamento attenendosi alle istruzioni
impartite dal titolare il quale, anche tramite verifiche periodiche,
vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e
delle proprie istruzioni.
5. Tip. responsabilità Responsabile del trattamento
Culpa in eligendo
Se il responsabile era una
persona palesemente
inaffidabile
Culpa in vigilando
RESPONSABILITA’ PRIVACY
Se il Titolare non ha vigilato
sul corretto trattamento che il
responsabile ha fatto dei dati
personali forniti
7. Il caso concreto
Può un Responsabile del trattamento nominare a sua volta un altro
Responsabile per subappaltare alcune mansioni?
Nel 2001 il Garante aveva chiarito che un Responsabile non può nominare a
sua volta un altro Responsabile.
In un recente provvedimento, tuttavia, il Garante Privacy ha indicato la
strada da seguire nel caso in cui sia necessario permettere al Responsabile
di subappaltare alcune mansioni (come ad esempio quella manutentiva):
“il soggetto nominato quale responsabile del trattamento, nel caso in cui
intenda avvalersi dell’opera di soggetti terzi (diversi dalle persone fisiche
con cui potrebbe avere in essere un rapporto contrattuale e che
conseguentemente devono venire nominate quali incaricati del trattamento),
si dovrà impegnare ad informare il titolare del trattamento del fatto che
intende avvalersi di terzi per l'esecuzione di alcune delle attività effettuate
per conto del titolare e a sottoporre tale circostanza al previo accordo di
quest'ultimo e deve stipulare un accordo scritto con i terzi, che imponga il
rispetto dei medesimi obblighi privacy a cui il Responsabile stesso è
vincolato”.
8. Per consentire, poi, al Titolare di esercitare un effettivo controllo
sui dati personali trattati per suo conto dai vari responsabili del
trattamento o terzi soggetti coinvolti (anche in caso di
esternalizzazione a terzi di alcune attività) è necessario che lo
stesso sia a conoscenza:
- delle principali modalità di esecuzione dei servizi resi dai
soggetti esterni;
- delle specifiche funzioni cui sono addetti;
- delle tipologie di dati cui hanno accesso;
- delle procedure adottate per garantire la sicurezza dei dati
trattati.
La soluzione prospettata dal Garante pare in linea anche con quanto
riportato nella bozza di Regolamento europeo (es. Corresponsabili )
Introduzione al principio di “accountability“ da intendersi come
“responsabilità verificabile”
9. Titolare dei Documenti e dei Dati
(nomina Responsabile interno
della conservazione)
Responsabile del
procedimento di
conservazione
(referente interno)
Responsabile del
trattamento
(verifica, coordinamento e
gestione delle misure di
sicurezza e organizzative in
ambito privacy)
Organismo di
Vigilanza e
Certificazione
Tali figure non è previsto agiscano “in solitudine” o comunque in maniera isolata l’una
dall’altra; anzi, è necessaria una sorta di “interoperabilità intellettuale” tra soggetti (giuristi,
informatici, archivisti, etc.) dotati di specifiche competenze che dovranno esplicare un
proprio ruolo nella gestione di questi processi.
10. Abbiamo capito chi è il Responsabile del trattamento …
…. ma chi è invece questo "Privacy Officer"?
Grazie per l’attenzione!
Avv. Graziano Garrisi
email:
grazianogarrisi@studiolegalelisi.it