ARGOMENTO:

Grazie avv. Viscanti per la sua disamina.
Francamente non riesco a convincermi che il mero controllo e registrazione per l'accesso a una proprietà privata induca al conferimento di "incaricato al trattamento esterno", specialmente per chi, come le Guardie Giurate hanno i titoli specifici per la mansione. Sono d'altra parte convinto che le imprese, nel gestire questi registri, debbano provvedere agli adempimenti previsti.

Buongiorno,
quanto Lei descrive integra, senza dubbio, attività di trattamento
Di seguito le riposto la definizione di trattamento contenuta nell'art. 4 GDPR
"qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione"
Il nome e cognome di una persona sono dati personali ed anche qui le allego la definizione di dato personale contenuta nella medesima disposizione del GDPR sopra richiamata:
«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o
identificabile («interessato»); si considera identificabile la persona fisica che può essere
identificata, direttamente o indirettamente, con particolare riferimento a un identificativo
come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo
online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica,
psichica, economica, culturale o sociale"
Per quanto sopra raccomando l'immediata sottoscrizione di un contratto ex art 28 GDPR, diversamente chi effettua il trattamento sarà considerato Titolare autonomo con tutti gli obblighi che ne derivano, primo fra tutti l'informativa che ai sensi dell'art. 14 (applicabile al caso di specie in quanto i dati non sono raccolti presso l'interessato) deve essere data nei seguenti termini:
a) entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un
mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati;
b) nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al
più tardi al momento della prima comunicazione all’interessato;
c) nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.
Saluti

Gentilissimo dott. Viscanti, la ringrazio per il parere, ma ritiene che la mera trascrizione "per conto di" su supporti di proprietà del Titolare, configuri in ogni caso un trattamento? E poi il semplice Nome e Cognome fanno parte dei dati "tutelati" e normati?

Salve,
l'istituto di vigilanza cosi come ogni altro soggetto che, pur non essendo parte dell'organigramma aziendale del titolare del Trattamento, svolge per quest'ultimo attività di trattamento dovrà essere considerato Responsabile esterno e pertanto sarà tenuto a sottoscrivere con il Titolare il contratto ai sensi dell'art. 28 GDPR. I vari soggetti che fanno parte dell'organizzazione del Responsabile così incaricato chiamati a svolgere un'attività di trattamento saranno ritenuti "incaricati" e, in quanto tali, dovranno essere adeguatamente formati.
Saluti

Chiedo un parere sull'opportunita di conferire "incarico esterno" per il trattamento dei dati a personale di istituto di vigilanza (guardie giurate) o società di servizi fiduciari (portieri).
La registrazione, finalizzata al controllo accessi aziende o enti pubblici, di Nome Cognome ed eventuale Ragione sociale, su registri dell'azienda committente, comporta il conferimento di incarico alla ditta appaltatrice che svolge il controllo?