Nei progetti di adeguamento al GDPR è di particolare importanza l’individuazione dei responsabili del trattamento, ovverosia di quei soggetti che svolgono attività di trattamento di dati personali “per conto” del titolare del trattamento. Tali soggetti, ai sensi della norma, possono svolgere le attività in outsourcing solo sulla base di un contratto di servizi o un analogo atto giuridico che disciplini le modalità di svolgimento in conformità con le prescrizioni contenute all’interno dell’art. 28 GDPR e, al ricorrere dei presupposti relativi alle attività di trattamento per cui sussiste l’obbligo di tenuta, devono dotarsi dei registri conformemente all’art. 30.2 GDPR.
La prassi degli adeguamenti ha portato alla “nomina” di tali responsabili ai sensi dell’art. 28 GDPR, per cui attraverso un atto vincolante di designazione proveniente dal titolare del trattamento devono essere regolamentati almeno i seguenti punti:
- materia, durata, natura e finalità del trattamento;
- tipo di dati personali trattati e categorie di interessati cui i dati si riferiscono;
- obblighi e i diritti del titolare del trattamento;
- modalità di assegnazione delle istruzioni documentate da parte del titolare del trattamento al responsabile del trattamento;
- garanzie di impegno alla riservatezza degli operatori del responsabile del trattamento che hanno accesso ai dati;
- precisazione delle misure di sicurezza adottate dal responsabile del trattamento e/o dei criteri per valutarne l’adeguatezza;
- eventuali modalità di designazione di un ulteriore responsabile del trattamento;
- modalità di assistenza al titolare del trattamento da parte del responsabile del trattamento nel riscontrare l’esercizio dei diritti da parte degli interessati;
- modalità di assistenza al titolare del trattamento da parte del responsabile del trattamento nella dimostrazione degli adempimenti in materia di misure di sicurezza, gestione delle violazioni dei dati personali, procedure di svolgimento della valutazione di impatto e di consultazione preventiva;
- modalità di restituzione e/o cancellazione dei dati al termine della prestazione di servizi da parte del responsabile del trattamento;
- modalità di comunicazione delle informazioni da parte del responsabile del trattamento per la dimostrazione degli adempimenti;
- modalità di assistenza del responsabile del trattamento alle attività di revisione e audit programmate e svolte da parte del titolare del trattamento.
Tutti i punti sopra individuati, è bene notare, rappresentano anche un’utile checklist per la verifica dei contenuti dei contratti già in corso fra un titolare del trattamento e un responsabile “innominato” (per meglio dire: ancora non nominato), per poter così rispondere all’eventuale esigenza di provvedere ad un’integrazione (anche attraverso un allegato o un’appendice, ad esempio) o altrimenti indicare all’interno della documentazione comprovante il rispetto dell’art. 28 GDPR (ad esempio nei registri delle attività di trattamento del titolare) direttamente il contratto in vigore. Il vantaggio, così, è evitare tutte quelle duplicazioni che comporterebbero un inevitabile costo operativo nelle attività di verifica, riesame e aggiornamento della documentazione.
A sostegno dell’attività di “nominare” responsabili, al contrario, a seconda del contesto operativo e dei presidi di controllo adottati (ad es. Privacy Manager, Privacy Officer, o anche DPO) può sussistere un’esigenza di riordino della documentazione e di creazione di un “fascicolo adempimenti GDPR” al fine di avere un unico raccoglitore in cui confluire tutta una serie di documenti redatti in formato “standardizzato”.
Concludendo, è bene comunque ricordare che il GDPR è una norma che richiede l’effettività degli adempimenti, con predilezione dei profili sostanziali in quanto sono l’unico elemento che può garantire l’efficace attuazione del principio di responsabilizzazione per cui il titolare del trattamento deve rispettare i principi e le prescrizioni della norma ed essere in grado di comprovare i propri adempimenti.
