Soggetti

Shape 5 Live Search

logo

Il responsabile del trattamento (nel nuovo regolamento europeo data processor) è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento. Il titolare del trattamento, quindi, nomina uno o più responsabili. 

In base all'art. 28 del nuovo regolamento generale europeo, la nomina deve avvenire tramite contratto o altro "atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento". 
Il contratto deve, quindi, essere conforme a quanto stabilito dell'art. 28 del nuovo Regolamento Generale. Col contratto il titolare delega al responsabile la concreta gestione del trattamento, affidandogli uno o più compiti specifici oppure una serie di compiti dettagliati in generale. Il responsabile a sua volta può nominare responsabili di secondo livello, a meno che non sia vietato dalle istruzioni del titolare. E' comunque il responsabile principale a rispondere dell'operato degli altri da lui nominati, di fronte al titolare del trattamento. 

Il titolare del trattamento rimane, a sua volta, responsabile della gestione effettuata dai responsabili, dovendo garantire che le loro decisioni siano conformi alle leggi, e in particolare il titolare deve scegliere responsabili del trattamento che offrano garanzie sufficiente ed adeguate nell’adozione di idonee misure tecniche e organizzative volte alla protezione dei dati personali. Il titolare deve sempre poter sindacare le decisioni dei responsabili. 
Nel caso in cui il responsabile del trattamento ecceda i limiti di utilizzo dei dati fissati dal titolare, il responsabile diventa titolare della gestione illecita dei dati e ne risponde come tale, insieme all'effettivo titolare (in sostanza è come se diventassero contitolari). 

 

Obblighi del responsabile

Il responsabile del trattamento ha obblighi specifici, quali: la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2, del Regolamento Generale); l'adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 regolamento); la designazione di un Data Protection Officer, nei casi previsti dal regolamento o dal diritto nazionale (si veda art. 37 del regolamento). 

  

Misure tecniche ed organizzative

Sia il titolare del trattamento che il responsabile, sono tenuti ad attuare le misure tecniche ed organizzative tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Si tratta di specifici requisiti previsti dal GDPR, che indica alcune misure di sicurezza utili per ridurre i rischi del trattamento, quali la pseudonimizzazione e la cifratura dei dati personali, la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 

 

Il web hosting quale responsabile del trattamento

Chiunque gestisce un sito web deve tenere presente che il servizio di web hosting, del quale si serve, è giuridicamente il responsabile del trattamento dei dati, in quanto il web hosting elabora i dati per conto del titolare. Ciò comporta innanzitutto la necessità di un vero e proprio contratto scritto (o equivalente) tra titolare e web hosting, nel quale sarà precisato cosa può fare il web hosting con i dati e quali misure di sicurezza deve predisporre. Inoltre, il titolare comunque è responsabile nei confronti delle autorità per eventuali violazioni commesse dal web hosting. 

Nel caso in cui ci si serve di un web hosting che si trova al di fuori dello Spazio Economico Europeo (SEE), siamo in presenza di un vero e proprio flusso transfrontaliero dei dati.