E LA CORRELAZIONE CON IL TITOLARE DEL TRATTAMENTO
Per “responsabile del trattamento” si intende la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Pertanto il responsabile è un soggetto esterno alla struttura del titolare e deve offrire al titolare medesimo garanzie sufficienti per mettere in atto misure tecniche e organizzative che rendano ogni trattamento di dati, a lui assegnato, conforme al GDPR allo scopo di proteggere i diritti degli interessati.
È indispensabile (anzi obbligatorio in virtù del principio di accountability) che il titolare valuti le conoscenze specialistiche, l’affidabilità e le risorse del responsabile, che può anzitutto dimostrare tali caratteristiche, offrendo al titolare un quadro completo dell’organigramma, di cui egli si avvale per garantire governance e compliance in materia di data protection, in particolare se ha designato un DPO e se esistono specifici preposti al trattamento, con elevati privilegi, nei settori critici e strategici dell’organizzazione, per es. reparto ICT; ufficio HR; comitato etico e organismi di vigilanza e controllo; ufficio acquisti, area marketing e vendite; ufficio appalti; area legale.
L’affidabilità dovrà essere verificata e valutata dal titolare sia per la reputazione del responsabile sul mercato, sia soprattutto in termini di capacità e competenza nell’adozione ed efficace attuazione delle misure di sicurezza a protezione dei dati trattati, nonché delle procedure di gestione degli incidenti informatici e dei Data Breach (anche sotto il profilo dell’efficacia di reazione, ripristino, resilienza e ripartenza dopo eventi negativi e anche disastrosi).
Altra caratteristica imprescindibile è la disponibilità del responsabile a sottoporsi ad audit periodici, strumento essenziale per il titolare al fine di controllare il perdurante rispetto delle disposizioni del GDPR e delle istruzioni che il titolare stesso fornisce al responsabile al momento della designazione.
Ovviamente, per procedere in modo corretto, il titolare dovrà effettuare una vera e propria “analisi del rischio” per avere contezza del fatto che il fornitore (o i fornitori) prescelto (o prescelti) offra (od offrano) tutte e garanzie sufficienti di conformità e affidabilità. La scelta dunque non è di mero carattere formalistico, ma è una scelta “etica“, dunque consapevole, ragionevole e responsabile e da effettuarsi dietro la compilazione di precise e dettagliate checklist. Le risposte rese dovranno “convincere” il titolare della bontà della scelta operata o, viceversa, distoglierlo dalla stessa, secondo criteri non economicistici (minimizzazione dei costi con massimizzazione dei profitti), ma fondati su comprovata idoneità ed affidabilità tecnico-professionale del fornitore, ivi incluse eventuali certificazioni di cui quest’ultimo fosse in possesso.
Si ricordi infatti che, se il titolare si rivelasse superficiale nella scelta, ne risponderebbe comunque. E le sue responsabilità sarebbero senz’altro civili (per danni), ma anche amministrative, posto che potrebbe essere esposto a sanzioni pecuniarie particolarmente onerose irrogabili dal Garante Privacy. Per es. ove il responsabile non avesse (o avesse male) implementato misure di sicurezza idonee e proattive per la protezione dei dati, il rischio per il titolare è quello di pagare (per errori e omissioni altrui) multe fino a fino a 10 milioni di Euro o, per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Vero che poi il titolare potrebbe rivalersi contro il responsabile (come pure il GDPR prevede), ma la sua immagine e la sua posizione sul mercato ne uscirebbero enormemente compromesse.
