ARGOMENTO:

Buongiorno,
il rapporto tra Titolare e Responsabile esterno del trattamento impone l’instaurazione di un vincolo contrattuale che vede il Responsabile tenuto a seguire i criteri individuati dal Titolare circa la durata, la natura, la finalità del trattamento, tipo di dati personali, categorie di interessati, obblighi e diritti (art. 28 GDPR).
La nomina a responsabile Esterno è atto che la tutela in quanto ove Lei effettuasse il trattamento determinando autonomamente, finalità e mezzi di trattamento sarebbe considerato, né più e né meno, quale vero e proprio Titolare (art 28 n. 10 GDPR).
Per quanto sopra dovrà pretendere di siglare un contratto ai sensi dell'art. 28 e, in mancanza, esimersi dal trattare .
Saluti

Salve,
sono una commercialista e come tale tratto dati per conto dei miei clienti quindi risulto essere responsabile esterno. Molti dei miei clienti ad oggi non mi hanno nominato come responsabile esterno ex art. 28 Reg. Ue 679/2016 e mi chiedevo se senza un contratto o un atto giuridico che mi nomini sono anche io passibile di sanzione da parte delle Autorità? La norma dice che il Titolare ricorre al Responsabile e controlla che abbia garanzie sufficienti per il trattamento dei dati. Pertanto, stando a tale interpretazione letterale significa che non sta a me farmi nominare responsabile esterno. Attendo sue osservazioni.

Buongiorno Sig. Montanari,
in realtà, stando al Suo ultimo post, il rapporto tra le Imprese del Terzo Settore e le Pubbliche Amministrazioni che Lei descrive sembrerebbe integrare una situazione di "Contitolarità" del trattamento dei dati ex art.26 GDPR e non un rapporto del genere "Titolare/Responsabile ex art.28".
A mio avviso, la convenzione che Lei cita e nella quale, presumo, sono state indicate le finalità pertinenti alle ITS, da una lato, ed alle PA, dall'altro lato, dovrebbe essere integrata con la previsione delle rispettive responsabilità di fronte agli obblighi normativi ed ai diritti degli interessati e, soprattutto, con la previsione delle modalità delle comunicazione delle informative agli interessati in occasione della raccolta dei loro dati.
Le suggerisco di prendere contatto con i DPO delle rispettive PA per apportare le necessarie modifiche alle diverse convenzioni proponendo anche di Sua iniziativa, se lo ritiene, sia il testo delle modifiche alla convenzione stessa sia il testo dell'informativa da comunicare agli interessati, informativa che verrà fornita dalle ITS o delle PA a seconda di chi, di volta in volta, nel caso specifico,raccoglie i dati e li comunica all'altro Contitolare.
Cordialità, ML

Salve,
la soluzione che propone mi pare rischiosa. Come le ho già detto il rapporto tra Titolare e Responsabile esterno del trattamento impone l’instaurazione di un vincolo contrattuale che vede il Responsabile tenuto a seguire i criteri individuati dal Titolare circa la durata, la natura, la finalità del trattamento, tipo di dati personali, categorie di interessati, obblighi e diritti (art. 28 GDPR).
Ove il responsabile dovesse determinare autonomamente, finalità e mezzi di trattamento egli sarebbe considerato, né più e né meno, quale vero e proprio Titolare (art 28 n. 10 GDPR).
La mancanza di un contratto sottopone al rischio di essere considerati Titolari di trattamento.
Io le consiglio di inviare una PEC alle varie amministrazioni chiedendo la bozza di contratto nonché di ricevere le indicazioni minime per gestire il trattamento dei dati in attesa della sottoscrizione dell’accordo. In mancanza di riscontro non ha altra alternativa che effettuare tutti gli adempimenti richiesti dal GDPR al Titolare di trattamento : limitarsi alla sola informativa non è sufficiente.
Saluti

Buongiorno prevalentemente seguo Imprese sociali che hanno in affidamento scuole e comunità accreditate per soggetti fragili (anziani, disabili, minori, handicap). Gli utenti vengono inviati da Aziende Asl e Comuni a seguito della stipula di una convenzione in cui viene definito il ruolo dell'ente pubblico (titolare) e quello dell'impresa sociale (responsabile) ma cui poi non segue mai nomina formale da parte del titolare al responsabile, tantomeno viene inviata all'impresa sociale copia dell'informativa e del consenso che il titolare propone all'interessato.

Salve,
per poter rispondere alla sua domanda occorrerebbe conoscere nel dettaglio il tipo di trattamento cui fa riferimento e gli adempimenti delle figure coinvolte.
Saluti