Gent.ma Avv. Castellani,
la vicenda segnalata riguarda un procedimento amministrativo di competenza di una Regione, da individuarsi, certamente, quale titolare del trattamento.
Il procedimento in questione, viene avviato da un soggetto richiedente, e cioè il datore di lavoro, il quale fornisce alla Regione tutte le informazioni necessarie, tra cui dati personali.
La Regione conclude il procedimento accordando (o non accordando) al richiedente il beneficio richiesto.
In questo quadro, il richiedente (il datore di lavoro) non assume nè può assumere il ruolo di "responsabile del trattamento" della amministrazione procedente, poichè, quale utente della P.A, si limita a trasferire i dati, oggetto dell'istruttoria, ma non tratta i dati "per conto" dell'amministrazione.
Il trasferimento dei dati da parte del richiedente, a ben vedere, avviene non "per conto dell'amministrazione", ma in nome e per conto proprio del richiedente e nell'interesse di quest'ultimo (ottenere il beneficio). Ed, anzi, la posizione dell'utente/richiedente è per definizione antagonista rispetto alla P.A. procedente.
Pertanto, non ritengo che il datore di lavoro possa essere un responsabile esterno della Regione; ciò per la stessa ragione per cui, ad esempio, una società che chiede un permesso di costruire ad un Comune non è certo un responsabile esterno del Comune, competente per la pratica edilizia.
Quanto al contenuto del modello di contratto con il responsabile esterno, al netto delle imprecisioni nella formulazione letterale, è sufficientemente aderente al testo dell'articolo 28 GDPR.
Peraltro, le sue perplessità sono, se non sbaglio, da collegarsi alle qualifiche soggettive.
A questo riguardo, salvo migliore lettura, non mi pare di avere rinvenuto dei documenti, a monte del modello di nomina predetto, una chiara individuazione del datore di lavoro come responsabile esterno della Regione. Sono ovviamente disponibile per gli approfondimenti del caso, in relazione a diversi od ulteriori profili, che lei vorrà evidenziare.
