Il comma 8 dell’art. 4 GDPR, definisce il Responsabile del trattamento come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”. 

Da questa definizione, al contempo semplice e complessa, emergono alcuni dati caratterizzanti e, il primo, forse non appieno compreso ad un sommario esame, è il rapporto che lega il Responsabile con il Titolare del trattamento. Il concetto di “per conto”, implica infatti un rapporto tra i due soggetti basato su un incarico che il primo riceve: detto incarico non può che avere alla sua base un rapporto di natura contrattuale. Può liberamente essere un contratto di lavoro subordinato o una diversa tipologia, ma questa è la natura giuridica che caratterizza il rapporto e, come tale, deve essere disciplinata, sia in relazione agli obblighi che ne derivano, sia alle responsabilità che ne discendono.

La definizione del GDPR è in continuità con quella utilizzata dal D. Lgs. 196/2003, dove si parlava di “persona fisica, giuridica, PA o altro ente ecc. preposti dal titolare al trattamento dei dati personali.” Ma anche dire “trattare dati” e “preposti al trattamento dati”, non è solo una sottile distinzione lessicale. Ricordiamo che il DPO prende in considerazione attività che il Titolare può delegare ad altri soggetti ed altre attività non delegabili quali, ad esempio, quelle del consulente del lavoro per le buste paga, salvo il caso di grandi imprese strutturate. Da qui possibili resistenze da parte di alcuni ad accettare incarichi o sottoscrivere accordi o nomine, anche perché si può assistere a sovrapposizioni che comportano la necessità di porre in essere accordi ben chiari. 

E’ pertanto necessario stabilire, ab origine, relazioni chiare con fornitori e eventuali responsabili interni, sottolineando come questi adempimenti siano necessari e che, a prescindere dalla formalizzazione mediante la nomina, ci si potrebbe trovare davanti ad una ipotesi di “rappresentante de facto”, specialmente se si tratti di responsabili esterni. Ciò anche in considerazione che un Responsabile esterno possa essere anche Titolare del Trattamento per alcune categorie di dati. Ad esempio il consulente del lavoro è Responsabile esterno per quanto attiene la gestione dei dati di lavoratori dei quali si occupa delle buste paga e attività connesse, ma è Titolare per quanto riguarda il trattamento dei dati del suo pacchetto clienti, fornitori e collaboratori.

Ogni accordo – incarico tra Titolare e Responsabile è decisamente opportuno abbia forma scritta, sia per regolare i loro rapporti sia, forse principalmente, per l’opponibilità e validità verso i terzi: il Garante in primis. La norma non dice quali caratteristiche o competenze debba avere il Responsabile, ma parla di garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento. E’ una delle caratterizzazioni del principio di accountability che caratterizza il GDPR.

Per garantire l’applicazione del Regolamento,il legislatore europeo ha stabilito che l’esecuzione dei trattamenti da parte di un responsabile del trattamento deve essere disciplinata da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare del trattamento. Ovvio che detto atto debba rivestire, come accennato, la forma scritta.  Ai sensi dell’art. 28 l’atto deve prevedere la durata, natura e finalità del trattamento e cosa essenziale, il tipo di dati personali e le categorie di interessati, tenendo conto dei compiti e responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato. Seguono i doveri e i vincoli del responsabile del trattamento.

La norma prevede poi la possibilità di nominare sub responsabili, ma ciò deve avvenire solo con l’autorizzazione del Titolare. Nel caso in cui titolare e responsabile svolgano lo stesso trattamento e siano responsabili di un danno nello svolgere detta attività, l’articolo 82 GDPR stabilisce la loro responsabilità solidale; la responsabilità del Responsabile emerge chiara, come parificata a quella del titolare. I loro rapporti interni, sul punto, sembra non siano opponibili ai terzi. Ecco che ancora una volta emerge l’importanza della nomina scritta e l’indicazione puntuale delle attività del responsabile ai fini di graduare e valutare le sue responsabilità.