Responsabile Trattamento art.28 Regolamento Europeo, le Garanzie Sufficienti richieste dal GDPR RGPD, NON SONO SOLO la conoscenza ICT INFORMATICA ma una Formazione Qualificata dimostrabile

Ogni giorno sentiamo dai mezzi di informazione che una delle principali problematiche degli italiani è la “casa”, soprattutto la prima casa, e le problematiche di acquisto per le giovani generazioni, spesso precarie lavorativamente parlando, che non sono in grado di dare “garanzie sufficienti” al settore bancario al quale ci si rivolge per la concessione di un mutuo.
In mancanza di queste “solide garanzie” principalmente economiche, raramente ( ovvero mai), gli istituti di credito erogano quanto ci si aspetta.

Il fondamento alla base di questa “rigida valutazione” è il rischio di non vedere rimborsato il mutuo concesso. (gestione del rischio)

Stiamo conoscendo questo periodo di transizione, dalla vecchia normativa del Codice Privacy Dlgs. 196/2003 al GDPR 679/2016 Regolamento Europeo sul trattamento dei dati personali, come quello della transizione dal dato “sic et simpliciter” (così e semplicemente) senza un vero valore economico a definirlo il “dato personale” come il nuovo “oro nero” dell’economia digitale.

Se l’erogazione del mutuo da parte della banca è sottoposto alla condizione di dare “garanzie sufficienti”, ed il dato personale è il “nuovo oro nero” della economia digitale, ed il Responsabile del Trattamento art.28 del GDPR Regolamento Europeo a cui affidiamo i “dati personali” che sono sotto la nostra custodia è, facendo un paragone, il soggetto a cui abbiamo concesso la nostra forma di mutuo sui nostri dati….sarebbe il caso che anche noi chiedessimo, al pari della banca, delle “garanzie sufficienti”.

Eppure, sembrerebbe che sulla base di una “profonda incomprensione” rispetto alla facoltà del Titolare del Trattamento di incaricare un Responsabile del Trattamento art.28 di trattare per suo conto i dati personali che sono sotto la sua custodia, vengono incaricati soggetti che non sono in grado di dare quelle “garanzie sufficienti”, specialmente nell’assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato, che anche il considerando n° 81 del GDPR regolamento europeo specifica ampiamente.

Per cui assistiamo che specie nella valutazione di un possibile incarico a responsabile del trattamento art.28 per la gestione dei dati e della sicurezza informatica di una azienda o studio professionale, la valutazione che dovrebbe fare il titolare del trattamento sulle “garanzie sufficienti” che prevede il GDPR per il responsabile, si fermano “unicamente” alla conoscenza più o meno dell’informatica, come tutti noi la conosciamo.

“Responsabile del Trattamento art.28” secondo il GDPR si riferisce alla “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, paragrafo 1, n. 8). Si tratta quindi di quel soggetto che è preposto e al quale viene affidato, da parte del titolare, il trattamento dei dati personali.

Meglio chiarire bene che:”Per quanto riguarda i requisiti soggettivi che il responsabile del trattamento deve possedere, il GDPR prevede che si tratti di una figura in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato.

Come fondamentale comprendere che una non corretta ed adeguata valutazione del titolare nella scelta del responsabile del trattamento, potrebbe portare a non adempiere correttamente a quanto prevede il GDPR per la nomina dei responsabili art.28, e quindi a possibili sanzioni, non compliance, con evidenti ripercussioni di natura risarcitoria anche verso i possibili danneggiati dal trattamento non conforme.

A questo proposito, come specificato dal Considerando 81, le garanzie che il responsabile
del trattamento deve essere in grado di fornire si sostanziano in: una conoscenza specialistica della materia sia informatica, che del GDPR della Data Protection e delle normative collegate, affidabilità e possesso di risorse, eventualmente anche di personale qualificato, che permettano di attuare misure tecniche e organizzative in grado di “soddisfare tutti i requisiti stabiliti dal Regolamento per il trattamento dei dati personali”, anche sotto il profilo della sicurezza.

Quindi come vediamo il profilo della capacità di assicurare sicurezza informatica è subordinato, ed in secondo piano, al possesso della “conoscenza qualificata della data protection prevista dal GDPR”.
Una società od un freelance professionista dell’ ICT informatica non potrà portare a propria “garanzia sufficiente” la sola conoscenza, per quanto buona, del settore informatico a base della propria adeguatezza ai requisiti GDPR come Responsabile del Trattamento

Nel caso in cui il tecnico debba essere nominato responsabile, il titolare dovrà preoccuparsi che abbia le competenze organizzative e giuridiche necessarie ad assicurare la rispondenza dei trattamenti al GDPR

Il Responsabile del trattamento dovrà quindi avere una “competenza qualificata”, che potrà
essere comprovata da apposita documentazione (rilasciata, ad esempio, in seguito alla
frequentazione di corsi qualificati sul GDPR), benché non esistano attualmente particolari abilitazioni o il possesso di specifiche certificazioni riconosciute a livello europeo o nazionale come esclusive.
Per quanto riguarda invece il profilo dell’affidabilità, questo requisito dovrà essere fondato su aspetti etico-deontologici e/o professionali, che potrebbero essere dimostrati, ad esempio, con autocertificazioni od iscrizioni presso Ordini od Associazioni professionali, anche per escludere eventuali condanne che possano essere rilevanti al riguardo

Il Responsabile del trattamento è obbligato, in forza del contratto stipulato con il titolare:

1. trattare i dati personali solo sulla base di un’istruzione documentata del titolare del trattamento, anche nel caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale a meno che lo richieda il diritto dell’Unione Europea o nazionale cui è soggetto il responsabile del trattamento. In quest’ultimo caso, il responsabile del trattamento dovrà informare il titolare dell’esistenza di un tale obbligo giuridico prima del trattamento, a meno che ciò sia giuridicamente vietato per rilevanti motivi di interesse pubblico;

2. garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

3. adottare tutte le misure richieste dall’art. 32 GDPR, ovvero le misure tecniche e organizzative necessarie al fine di garantire un livello di sicurezza adeguato al rischio (ad esempio, la pseudonimizzazione dei dati o la cifratura)

4. rispettare tutte le condizioni previste per l’eventuale nomina di un subresponsabile;

5. assistere il titolare del trattamento con misure tecniche e organizzative adeguate, e tenuto conto della natura del trattamento, al fine di soddisfare l’obbligo di dare seguito alle richieste per l’esercizio dei diritti dell’interessato (quali il diritto di accesso ai dati personali, il diritto di rettifica, il diritto all’oblio, il diritto alla limitazione del trattamento, il diritto alla portabilità dei dati, il diritto di opposizione);

6. assistere il titolare del trattamento nel garantire il rispetto degli obblighi in materia di tutela della sicurezza dei dati, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

7. cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento (su indicazione del titolare del trattamento), nonché cancellarne le eventuali copie esistenti;

8. mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto dei suoi obblighi, nonché contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da lui incaricato.

Il responsabile deve, inoltre, informare immediatamente il titolare del trattamento ritenga che un’istruzione violi il Regolamento o altre disposizioni nazionali o di diritto europeo relative alla protezione
dei dati.

Anche in capo al Responsabile del trattamento il GDPR pone l’obbligo di tenere il registro
dei trattamenti svolti per conto del titolare del trattamento, nel quale vanno riportate
dettagliatamente una serie di indicazioni relative ai trattamenti di dati effettuati

Per poter agire come Responsabile del trattamento occorrono quindi due requisiti: da un
lato, essere un soggetto distinto dal Titolare del trattamento e, dall’altro lato, la capacità di
elaborare i dati personali per conto di quest’ultimo.

O.L.I.T. Informatica

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Condividi allo stesso modo 4.0 Internazionale.

Annunci