La compliance al GDPR richiede una corretta gestione dei rapporti tra Titolare e Responsabile del trattamento. In questo articolo, esploreremo l’importanza dell’atto di nomina a Responsabile del trattamento ai sensi dell’articolo 28 del GDPR e forniremo indicazioni utili per entrambe le parti coinvolte.
L’importanza dell’atto di nomina a Responsabile del trattamento
Una volta superata la fase di qualificazione dei fornitori e dopo aver scelto il fornitore che presenta garanzie adeguate alla tipologia di attività commissionata, è necessario regolamentare questo rapporto ai fini privacy tramite un apposito accordo.
L’articolo 28 del GDPR
L’articolo 28, comma 3 del Reg. UE 679/2016 (“GDPR”) recita quanto segue:
“I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. […]”.
L’accordo tra Titolare e Responsabile
Sebbene questo atto venga spesso dimenticato, l’articolo 28 del GDPR che abbiamo appena letto ci insegna l’importanza della regolamentazione del rapporto esistente tra un Titolare e il suo Responsabile nel mondo del trattamento dei dati personali.
Questo tipo di accordo permette di normare alcuni aspetti fondamentali sulle modalità di trattamento applicate dai soggetti coinvolti, come ad esempio: quali tipi di dati possono essere trattati e per quali finalità, quali misure di sicurezza devono tutelare i dati coinvolti, per quanto tempo questi possono essere conservati e così via.
Clausole Contrattuali Tipo e personalizzazione
Sebbene siano state formulate delle Clausole Contrattuali Tipo dalla Commissione Europea (citate per la prima volta nella Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati) è fondamentale che il c.d. DPA (Data Protection Agreement) venga stipulato ad hoc, seguendo le specifiche esigenze derivate dalle attività di trattamento che il Responsabile effettua per conto del Titolare.
Le suddette clausole standard possono essere utilizzate in via complementare, per integrare disposizioni che non dovessero essere regolamentate direttamente nell’atto di nomina ex art. 28 GDPR mediante apposita clausola di rinvio, e/o come fac simile iniziale sulla base del quale redigere il proprio accordo.
Indicazioni per Titolari e Responsabili
Se osserviamo questo rapporto giuridico dal lato del Titolare del trattamento, è fondamentale redigere un atto di nomina sufficientemente tutelante e nel quale vengano esposti in maniera dettagliata tutti gli aspetti citati dall’articolo 28 GDPR citato all’inizio di questo articolo.
Se, invece, ci troviamo a rivestire il ruolo di Responsabile del Trattamento (o Sub-Responsabile!) è bene che verifichiamo attentamente il contenuto di tutti gli accordi che ci pervengono, per verificare che non dispongano obblighi eccessivamente gravosi e/o non previsti dalla normativa.
Hai bisogno di assistenza?
La redazione di un atto di nomina a Responsabile del trattamento conforme all’articolo 28 del GDPR può essere complessa e richiede una conoscenza approfondita della normativa. Se dovessi aver bisogno di aiuto per creare o esaminare le nomine, il nostro team di esperti è a tua disposizione.
Contattaci per una consulenza personalizzata e per garantire che il rapporto tra Titolare e Responsabile del trattamento sia regolamentato in modo appropriato e conforme al GDPR. Non lasciare nulla al caso quando si tratta di protezione dei dati personali: affidati a professionisti competenti e preparati.
Dott.ssa Matilde Grassi
Commenti recenti