La figura del Responsabile del Trattamento è definita all’art. 4, comma 8 del GDPR che, in maniera all’apparenza scarna, lo definisce “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”. Soggetto ben distinto dal Titolare e che, nello svolgimento delle sue attività, rispondendo direttamente a quest’ultimo, deve garantire la sicurezza dei dati nella sua disponibilità, garantendo sufficienti garanzie per assicurare il pieno rispetto della norma e garantire le adeguate forme di tutela degli interessati. Queste garanzie sono essenziali ed è compito e dovere di ogni Titolare accertarsi che i Responsabili nominati ne siano provvisti, in quanto restano loro a rispondere davanti al Garante e a ciascun interessato. In ogni caso, ancorché le competenze e le conoscenze debba averle il Responsabile, è dovere del Titolare collaborare con lui per ottimizzare la gestione della delicata e spinosa materia disciplinata dal GDPR. Entrambi decideranno sulla base dei principi di Privacy by design e by default, le misure da prendere, la policy aziendale sulla protezione dati e quant’altro necessario, sia sotto il punto di vista tecnico che sotto quello legale.

Le competenze del Responsabile dovranno quindi essere a più livelli al punto che viene il dubbio se possa essere un solo soggetto ma, in ogni caso, il rilievo che ai sensi del Regolamento possa essere anche una persona giuridica, è indicativo. In ogni caso è dovere del Titolare mettere il Responsabile nelle condizioni ottimali per poter operare, destinandogli risorse economiche e umane adeguate e sufficienti per le sue attività.

Nessuna preclusione a che aziende e enti si forniscano di Responsabili interni, sul punto il GDPR non dice nulla, ma in Francia e Gran Bretagna si richiamano al parere 1/2010 del Gruppo Articolo 29 per evidenziare come il responsabile debba essere esterno, facendosi forza anche dell’esplicita previsione di un contratto o altro atto giuridico di nomina e indicazione delle attività da svolgere. Espressamente l’art. 28 GDPR parla di contratto, ma fa riferimento anche ad “altro atto giuridico” che vincoli titolare e responsabile e che disciplini il loro rapporto. 

• Esternalizzazione dei servizi

Sono comunque molte le aziende che, anche per non gravare sulle strutture interne, scelgono la via dell’esternalizzazione del servizio: in tal caso dovranno provvedere a designare il responsabile della sicurezza, la persona o l’azienda incaricata. La nomina sarà di fatto contenuta nel contratto concluso tra le parti e che spesso viene predisposto dal Responsabile. In ogni caso si reputa opportuno predisporre anche un atto a parte di nomina ai fini della pubblicità della stessa e per eventualmente esibirlo nei rapporti con i terzi, evitando così di dover mostrare il contratto nella sua interezza.

Contenuti minimi dell’accordo sono gli elementi indicati dall’art. 28 che disciplina in maniera abbastanza capillare la fattispecie; significativo al Par. 3.b come venga specificato che sia il Responsabile a dover adottare tutte le misure di cui al successivo art. 32 che indica le modalità di trattamento quali la pseudonimizzazione, assicurare la riservatezza, la capacità di ripristino. Di fatto la previsione di un Responsabile Esterno configura una delega alla concreta gestione del trattamento di cui, non dimentichiamo, il Titolare rimane comunque responsabile. Può peraltro verificarsi l’ipotesi che il Responsabile assuma la qualifica di Titolare della protezione laddove eccedesse nella richiesta e raccolta di dati, andando oltre quello che è il suo mandato, ad esempio per farsi un proprio database o, peggio ancora, rivenderlo.

Tra gli obblighi del responsabile già previsti nel testo del GDPR, e comunque da inserire doverosamente nel contratto, troviamo quelli di avvisare, consigliare e assistere il Titolare nell’attività di protezione, ma non si ritiene possa assumere decisioni autonome che eccedano quelle strettamente previste dalla norma. Se è pur vero che l’attività deve essere svolta da entrambi, resta il potere decisionale ultimo del Titolare imprenditore, che una volta consapevole di necessità o interventi da eseguire, deve sostenere i costi necessari.