Come già affrontato nel primo capitolo, il responsabile del trattamento è quella persona fisica, giuridica, ente o pubblica amministrazione che elabora i dati per conto del titolare del trattamento251. Anche riguardo a tale figura, e in modo particolare circa la sua responsabilità, ho ritenuto di farmi chiarire degli aspetti.
j4.4.1 Responsabilità del Responsabile del trattamento
Partendo dal presupposto che la responsabilità è unicamente del titolare ogni volta in cui i trattamenti sono posti in essere da costui e anche quando sono ripartiti tra responsabili direttamente dipendenti di strutture interne del titolare, mi sono chiesta di chi sia invece la responsabilità nei casi in cui il titolare faccia ricorso, per una parte o per l’intero trattamento, a strutture o a organizzazioni esterne alla sua azienda. Il Dottor. Iaselli, a riguardo, mi ha precisato che nel caso prospettato tale struttura o organizzazione esterna debba essere concepita dal punto di vista del trattamento dei dati personali come responsabile esterno ex Art.28 GDPR e che il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento , che abbia
251 Art.4 GDPR.
121
accesso ai dati personali non possa trattarli se non è istruito in tal senso dal titolare del trattamento attraverso un contratto o altro atto giuridico vincolante252. Premesso ciò mi ha sottolineato come, ai fini dell’individuazione delle responsabilità in caso di violazioni, l’Art.82 del GDPR sia molto chiaro dal momento che sancisce che un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il regolamento.
Il responsabile, invece, come già avevo esposto nel primo capitolo trattando della responsabilità di tale figura, risponde per il danno causato dal trattamento solamente se non ha adempiuto agli obblighi del regolamento specificatamente diretti ai responsabili del trattamento o nel caso in cui agisca in modo difforme o contrario rispetto alle legittime istruzioni impartitegli dal titolare del trattamento. In tal caso è configurabile la responsabilità di entrambi ed il GDPR, a riguardo, chiarisce che essa è solidale proprio per tutelare al massimo l’interessato. Come chiarisce il Dottor. Busato, quella del titolare e del responsabile è una responsabilità di tipo oggettivo253, che prevede però una prova liberatoria assai rigorosa volta ad esonerare dalla responsabilità il titolare e il responsabile se dimostrano che l’evento dannoso non gli è in alcun modo imputabile. La responsabilità, quindi, non si configura solamente quando il danno causato dal trattamento non risulti in alcun modo prevedibile ed evitabile da chi effettua il trattamento. Il titolare dunque deve dimostrare, oltre al rispetto di quanto previsto espressamente dalla normativa vigente, di aver adottato tutte le cautele possibili per contenere tale rischio. Tra queste cautele rientra senz’altro quella di conferire l’incarico a soggetti o società che siano certificati, ma sicuramente non è l’unica.
252 Art.28 GDPR, paragrafo 4.
253 Ossia quella responsabilità nella quale il soggetto è chiamato a rispondere di un
122
Premesso ciò, a mio avviso, ritengo che il titolare, prima di affidare tale incarico mediante un contratto, dovrebbe quanto meno richiedere delle relazioni dettagliate sul rispetto della normativa da parte del Responsabile del trattamento. Tra gli esempi che mi pervengono vi è quello di richiedere che il responsabile abbia appositamente formato il proprio personale, autorizzato ai sensi dell’Art.29 del GDPR, oppure che i software da questo utilizzati prevedano le misure minime di sicurezza ai sensi dell’Art. 32 del GDPR e comunque qualsiasi altra informazione che possa ritornare utile ai fini della scelta del responsabile.
Conclude il Dottor. Balboni, dicendo quindi come la responsabilità, nel caso in cui il titolare si avvalga di un responsabile esterno, potrà essere tanto del primo, quanto del secondo, dal momento che dipenderà tutto dalla causa del danno, cioè se questa risulta riconducibile al titolare o al responsabile. Il titolare dovrà in più dar prova di aver compiuto un procedimento di individuazione del responsabile quanto più scrupoloso possibile.
Per finire, il Dottor. Iaselli, ha evidenziato come, in ogni caso, sia necessario fare attenzione alla predisposizione del contratto fra titolare e responsabile, dal momento che, come sottolinea anche la Dott.ssa Capoluongo, nonostante il “boom” della privacy, il nostro ordinamento poggia anche su altre basi e quindi interverrà sempre la responsabilità contrattuale.
4.4.2 Sarebbe opportuna la certificazione del Responsabile del trattamento?
Sempre riguardo al Responsabile del trattamento non avevo ben chiaro se fosse o meno opportuna una sua eventuale certificazione. La Dott.ssa Capoluongo a riguardo ritiene che non sia necessaria o opportuna una
123
tale certificazione, in quanto ritiene che bastino i rimedi previsti dal codice e dal Regolamento.
4.4.3 Con le modifiche introdotte dal nuovo Regolamento sulla privacy continua ad esistere la figura del “Responsabile interno del trattamento?”
Un altro dubbio circa la figura del responsabile del trattamento che mi è pervenuto è quello se, a seguito delle modifiche del nuovo Regolamento sulla Privacy, continui ad esistere o meno la figura del “Responsabile interno del trattamento”. I professionisti sopra annunciati, a riguardo, mi hanno fatto presente come con il GDPR il termine “responsabile del trattamento” possa essere impiegato solo riguardo i soggetti esterni all’organizzazione del titolare. A quest’ultimo però permane la possibilità di conservare forme di delega interne per porre in essere obblighi normativi. Tali delegati, però, non sono più riconducibili alla figura del responsabile del trattamento ai sensi dell’Art. 28 GDPR e di conseguenza sono loro inapplicabili anche gli obblighi, come la tenuta di un proprio Registro dei trattamenti, nominare eventualmente un DPO ecc, che spettano al responsabile.