L'azienda è un crocevia di dati personali e ogni flusso necessita della sua giustificazione privacy. Ogni spostamento di dati impone una definizione dei ruoli «privacy» di mittente e destinatari. Il destinatario dei dati può essere un fornitore (e allora sarà un responsabile esterno) oppure un dipendente (da qualificare come autorizzato) oppure potrebbe essere un soggetto esterno che persegue obiettivi propri (con il ruolo di titolare del trattamento). Ogni opzione ha un adempimento documentale, come il contratto con il responsabile esterno o la designazione dell'autorizzato al trattamento.
Senza una nomina, non c’è responsabile esterno? L’articolo 20 del Gdpr ci dice: “Guarda, carissimo titolare del trattamento, che tra te e il responsabile esterno è obbligatorio che ci sia o un contratto con delle clausole o una nomina. Se manca una di queste due cose, non puoi avvalerti di quel responsabile esterno.” Il responsabile esterno quindi deve essere nominato con un atto di nomina o deve essere indicato all’interno del contratto di fornitura, attraverso un atto che vincola il responsabile del trattamento al titolare. Cosa vuol dire che vincola?
Con un recente provvedimento, il Garante ha confermato il proprio orientamento secondo il quale in assenza di un accordo scritto formalizzato conformemente all’art. 28 GDPR, le attività di trattamento svolte dal soggetto che assume il ruolo di responsabile sono illecite in quanto prive di alcuna valida base giuridica.
In data 18 maggio 2022 l'Autorità Garante per la protezione dei dati personali ha rilasciato un interessante parere, in risposta a un interpello di una compagnia di assicurazioni. Il parere, attualmente rinvenibile su Internet, è stato diffuso in data 24 maggio 2022 dall'Associazione Bancaria Italiana (ABI). La questione, del tutto frequente nella pratica, concerne il corretto inquadramento soggettivo degli intermediari finanziari che collocano prodotti assicurativi, sotto il profilo della protezione dei dati personali dei clienti assicurati.
I consulenti del lavoro non sono obbligatoriamente responsabili esterni del trattamento. Questa l'indicazione del Consiglio nazionale dei consulenti del lavoro (circolare n. 1150 del 23 luglio 2018), in cui si affronta un problema posto dal Regolamento Ue sulla privacy (n. 2016/679). In effetti se un soggetto è «responsabile del trattamento», in base all'articolo 28 del regolamento, deve obbligatoriamente, a pena di sanzione amministrativa, sottoscrivere un contratto con il titolare del trattamento. Per questo motivo ai consulenti stanno arrivando richieste di firmare il contratto di responsabile esterno. Secondo la circolare le richieste possono essere respinte.
Sono passati ormai più di due anni da quando il Gdpr è entrato pienamente in vigore e tra i soggetti protagonisti della nuova normativa ci sono certamente i fornitori di software ma non sempre è facile individuare ruoli e responsabilità nel trattamento dei dati ad essi affidati. Con riferimento a quest’ultimi, possono verificarsi diversi scenari ed è pertanto necessario valutare caso per caso le diverse fattispecie.
Sanità e privacy, gestionale con il bug boomerang per la casa di cura. La struttura sanitaria che decide di utilizzare un gestionale on-line per agevolare l'attività dei medici deve avvalersi di fornitori in grado di garantire la sicurezza del sistema. Se un hacker entra nell'applicazione attraverso errori grossolani scatteranno infatti controlli e sanzioni che non risparmieranno neppure il soggetto esterno deputato alla gestione concreta del software. Lo ha chiarito il Garante per la protezione dei dati personali con l'ordinanza ingiunzione n. 423 del 2 dicembre 2021.
Nell'ambito di un trattamento di dati personali ci troviamo di fronte a quella che possiamo definire una "filiera dei partner" ogni qual volta le varie attività di trattamento di dati vengono effettuate da vari "soggetti privacy".Questa filiera, costituita dall'insieme di soggetti che si relazionano tra loro e che compiono varie attività nell'ambito di un trattamento di dati personali, può essere semplice o anche complessa e stratificata, a seconda di quante titolarità privacy si interpongono nella gestione di un determinato trattamento di dati e a seconda dei particolari rapporti tra essi.
Da un’indagine della Guardia di finanza emergeva che undici schede telefoniche fossero state intestate a cinque ignari cittadini in spregio della normativa che ne richiede l'obbligo di identificazione dell'assegnatario dell'utenza e l'obbligo di rendere agli interessati le informazioni relativamente al trattamento dei dati personali.
Nel linguaggio degli addetti ai lavori sono denominati correntemente 'sub-responsabili', mentre l'art. 28 del Regolamento UE 2016/679 li chiama “altri responsabili”, la sostanza è comunque la stessa: si intendono per costoro quei soggetti cui si rivolge il responsabile quando intenda sub-affidare in tutto o in parte il servizio (con il connesso trattamento dei dati) del cui svolgimento ha ricevuto incarico dal titolare. Si tratta di una opportunità denegata, in Italia, dal pre-vigente art. 29 del Codice privacy, che contemplava unicamente nomine dirette da parte del titolare, nella formale indifferenza rispetto ad un fenomeno che nella realtà del mercato era ed è, invece, assai diffuso ed importante.
