Formalizzazione dei ruoli previsti dal Gdpr: per imprese e p.a. è bene mettere nero su bianco chi fa cosa
Sbagliare la qualifica privacy può costare caro. La sanzione prevista dal Gdpr arriva fino a 10 milioni di euro o, se superiore, fino al 2% del fatturato mondiale annuo delle imprese. Per evitare ciò le imprese e le pubbliche amministrazioni devono districarsi tra le varie qualifiche e mettere sempre nero su bianco in un apposito atto/contratto il risultato di questo approfondimento. La mancata formalizzazione di ruoli è, infatti, autonomamente sanzionata, come è dimostrato dai provvedimenti n. 292, 293 e 294 del 22/7/2021 (si veda l'articolo dell'11 settembre 2021).
In generale, le figure privacy sono: titolare del trattamento, contitolare, responsabile esterno. E, se la definizione astratta sembra semplice, tutt'altro che facile è l'individuazione in concreto. Il titolare decide finalità e modalità del trattamento; i contitolari, invece, decidono insieme le predette finalità e modalità; il responsabile del trattamento è un fornitore esterno, che tratta dati per conto del titolare e, quindi, agisce per le finalità e nell'ambito delle modalità decise dal titolare.
Queste le definizioni generali, che però vanno calate nella realtà dei rapporti commerciali e istituzionali, che non sono mai così netti e, anzi, vi è quasi sempre promiscuità nelle posizioni e nei compiti. Per agevolare il percorso, non si può fare altro, dunque, che elaborare alcuni criteri indiziari, ciascuno non decisivo, ma utilizzabili in maniera sistematica per optare per una o l'altra qualifica.
L'impresa, il professionista, l'associazione e l'ente pubblico potranno rispondere ai quesiti proposti nella pagina e individuare almeno con una valutazione di prevalenza, se orientarsi verso la titolarità oppure verso il rapporto tra titolare e responsabile. In quest'ultimo caso è d'obbligo la redazione di un contratto seguendo lo standard dell'articolo 28 del Gdpr. Se, invece, ci si sposta verso l'asse del rapporto di contitolarità, è necessario sottoscrivere un accordo ai sensi dell'articolo 26 Gdpr.
di Antonio Ciccia Messina (Italia Oggi del 27 settembre 2021)