Il Garante Privacy ribadisce i contenuti minimi della nomina a responsabile del trattamento
Di recente, il Garante per la protezione dei dati personali ha emanato il provvedimento n. 100 del 22 febbraio 2024, utile a tutti i titolari e i responsabili del trattamento. L’Autorità si è allineata a quanto sancito nelle Linee Guida 07/2020 adottate dall’European Data Protection Board ed ha quindi delineato i contenuti minimi della nomina richiesta ai sensi dell’art. 28 del GDPR. Si ricorda che: - è qualificato titolare del trattamento, ai sensi della normativa in materia di dati personali (GDPR) la persona fisica o giuridica (dunque anche una società, considerando l’ente nel suo insieme e non l’organo amministrativo e/o il legale rappresentante) che determina finalità e mezzi del trattamento. In altre parole, è titolare del trattamento l’ente che decide quali dati trattare e per quale motivo; - il responsabile del trattamento, invece, è colui che tratta i dati per conto del titolare, cioè per perseguire una finalità e seguendo le istruzioni impartite da quest’ultimo. Qualora tra due soggetti si configuri un rapporto titolare-responsabile, è indispensabile che venga concluso un contratto (o altro atto giuridico) che disciplini il trattamento e che rispetti quanto sancito all’art. 28 del GDPR. Il Garante ricorda che il contenuto di tale atto non dovrebbe meramente ribadire le disposizioni del GDPR, bensì prevedere informazioni più specifiche e concrete. In particolare, con riferimento al contenuto minimo obbligatorio, è necessario che il contratto stabilisca: - L’oggetto del trattamento (ad esempio, registrazioni di videosorveglianza). Sebbene sia un concetto ampio, esso deve essere formulato con specifiche sufficienti affinché l’oggetto principale del trattamento sia chiaro; - La durata del trattamento: occorre specificare il periodo di tempo esatto o i criteri utilizzati per determinarlo (ad esempio si potrebbe fare riferimento alla durata dell’accordo relativo al trattamento); - La natura del trattamento: il tipo di operazioni eseguite nell’ambito del trattamento (ad es. “ripresa”, “archiviazione di immagini” …) - La finalità del trattamento (ad es. la rilevazione degli ingressi illegittimi). Tale descrizione dovrebbe essere la più completa possibile, a seconda dell’attività di trattamento specifica, in modo da consentire a soggetti esterni (ad esempio il Garante) di comprendere il contenuto e i rischi del trattamento affidato al responsabile; - La tipologia di dati personali trattati. Anche tale elemento dovrebbe essere il più puntuale possibile, non potendosi ritenere compliant un generico rimando al concetto di “Dati personali ai sensi del GDPR”; - Le categorie di interessati (ad es. visitatori, dipendenti…); - Gli obblighi e i diritti del titolare del trattamento (es. diritto del titolare di effettuare ispezioni e attività di revisione). Oltre a quanto sopra richiamato, è poi necessario che il titolare impartisca chiare e dettagliate istruzioni al responsabile e che tanto il titolare quanto il responsabile rispettino le disposizioni del GDPR (e diano atto di impegnarsi a rispettare tali norme all’interno dell’atto di nomina)