Con questo articolo si prenderanno in analisi le caratteristiche, gli obblighi, i ruoli e le differenze tra il Responsabile e il Contitolare del trattamento dei dati personali, le due figure chiave previste dalla normativa privacy.
La scelta di nominare o essere nominati in qualità di responsabile o contitolare non è mai semplice e richiede un’attenzione maggiore che in passato.
Queste figure sono necessarie ed obbligatorie laddove i dati siano trattati (all’interno o all’esterno della organizzazione) da più soggetti; si ricorda a tal proposito che con il termine “trattamento” si intende anche la mera consultazione di un dato, fisico o virtuale che sia. Questa situazione è normale e comune a tutti i nostri studi ed è direttamente proporzionale al numero dei clienti che gestiamo.
Il Regolamento europeo (GDPR 679/2016) e la recente normativa in tema privacy prevede quanto segue: se per il medesimo trattamento di dati, più soggetti si trovino contemporaneamente ad essere ed agire in qualità di titolari del trattamento (cioè come coloro che possono decidere, tra le altre cose, le finalità ed i mezzi del trattamento), si ha una situazione di contitolarità.
Sotto il profilo della responsabilità e l’assoggettamento alle sanzioni, gli stessi sono corresponsabili.
I Contitolari devono, per mezzo di un contratto, decidere se e come ripartire le responsabilità rispetto agli obblighi relativi alla privacy e questa situazione deve essere portata a conoscenza dei soggetti interessati al trattamento.
Ogni contitolare è a questo punto responsabile in toto dell’eventuale danno causato; si tratta di una sorta di principio di solidarietà, pertanto un contitolare può essere esonerato da responsabilità solo se è in grado di dimostrare di non essere in alcun modo responsabile dei danni cagionati.
Quando invece il soggetto che tratta dati personali agisce per conto e con istruzioni del titolare del trattamento, quindi non più in una situazione di parità, si parla di responsabile del trattamento dei dati.
La norma in questo caso (art 28 del GDPR) recita quanto segue: “qualora un trattamento debba essere effettuato per conto del titolare dello stesso, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato”. In altre parole, se il Titolare (ad esempio, il nostro cliente) decide di affidare il trattamento dei dati ad un responsabile (il nostro studio), deve essere certo che quel soggetto possieda le competenze necessarie ed abbia una formazione specifica (oltre naturalmente ad essere a sua volta adempiente alla normativa).
Anche in questo caso è opportuno che gli accordi siano disciplinati da un contratto scritto dove si definiscano puntualmente le modalità del trattamento, la durata, le finalità, la tipologia di dati trattati, le misure minime di sicurezza e così via.
È dunque evidente che la figura del responsabile del trattamento si assumerà determinate responsabilità ed obblighi derivanti dalla stipula di un accordo di tipo contrattuale.
Inoltre l’art. 28 del GDPR chiarisce che vi è la possibilità per il responsabile del trattamento (se l’accordo con il titolare lo prevede) di ricorrere ad un altro responsabile dello stesso per l’esecuzione di specifiche attività; anche su tale altro responsabile del trattamento sono imposti, sempre mediante un contratto, gli stessi obblighi.
Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserverà l’intera responsabilità.
Immagino che la quasi totalità dei nostri studi trattino i dati personali per l’espletamento di un incarico professionale, di carattere aziendale o commerciale (es. elaborazione cedolini paghe) per conto e su mandato dei clienti: in questi casi il Commercialista sarà da considerare responsabile del trattamento.
Nei casi invece in cui vi sia libertà di decidere insieme al cliente le finalità e le modalità di trattamento (es. perizie di parte, consulenze su vertenze), vi sarà contitolarità.
È evidente come essere contitolari porti ad avere molte più responsabilità ma è pur vero che questa situazione è residuale. Nel caso più frequente invece, dove il trattamento dei di dati del proprio cliente avviene per conto di quest’ultimo, la condivisione delle finalità non può che essere intesa come obiettivo del cliente.
Le differenze tra responsabile e contitolare, come si è visto, devono essere ben comprese poiché, soprattutto sotto il profilo delle responsabilità, si rischia di generare problemi di portata difficilmente quantificabile.
Si conclude con una provocazione: se è vero che in molti casi (sempre?) dovremo essere nominati responsabili del trattamento, sarà altrettanto vero che senza formazione, strutture e processi a norma, saremo in grado di’…mettere in atto misure tecniche ed organizzative adeguate… per poter continuare le nostre attività? E sul lato formazione (anche riguardo ai Crediti Formativi), chi potrà occuparsene se non qualcuno che abbia piena cognizione delle necessità delle nostre Professioni?
Come sempre, e ancor più in questa scelta, privacy non è da considerare una semplice serie di adempimenti; si tratta piuttosto di un processo, un nuovo modo di pensare al dato e alle modalità di lavoro.