Quaderno del 29 marzo 2018

Il GDPR definisce all’art. 4 il Responsabile del trattamento come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” e ne descrive le funzioni all’art.28.

Ai fini di una corretta applicazione delle disposizioni del Regolamento risulta utile distinguere fra la funzione di “Responsabile del trattamento”, così come definita all’art. 28 del Regolamento, assegnata a un soggetto esterno che esegue trattamenti per conto dell’amministrazione sulla base di un contratto/convenzione e la funzione che possiamo definire di “Responsabile interno” che nella prassi è assegnata a uffici/dipartimenti che esercitano funzioni di particolare rilievo.

Gli adempimenti che il Regolamento pone in capo al responsabile del trattamento sembrerebbero riferiti ai soggetti esterni, che eseguono trattamenti per conto del titolare, e non anche a coloro che svolgono la funzione di responsabile interno della PA. Le azioni di seguito elencate dovrebbero essere, conseguentemente, attivate dalle Regioni nel caso in cui rivestano il ruolo di responsabili esterni del trattamento (ad es. se come OI eseguono trattamenti per conto di un’altra autorità pubblica che è AdG).

Punto a. Designare un responsabile della protezione dei dati

Si dovrà procedere alla nomina del RPD qualora tale figura non sia stata già individuata dalle amministrazioni in qualità di titolari del trattamento dei dati. Il responsabile della protezione dei dati deve essere infatti unico per amministrazione/ente, al fine di evitare rischi di sovrapposizioni o incertezze sulle responsabilità.

Suggerimenti per le AdG

Nell’ambito delle operazioni cofinanziate dal FSE le AdG svolgono sovente le funzioni di responsabili (interni) del trattamento dei dati. In tale ipotesi esse non dovranno comunque procedere alla designazione di un RDP in quanto (come detto) tale figura deve essere un’unica per l’intera Regione.
Tale obbligo potrebbe invece sussistere per i beneficiari/attuatori, che coadiuvano l’amministrazione nella raccolta e trattamento dei dati sui partecipanti ai percorsi FSE, qualora individuati (nell’atto di adesione/convenzione) quali responsabili del trattamento. Nello specifico essi dovranno procedere alla designazione del RPD qualora siano pubbliche amministrazioni o organismi di diritto pubblico. La nomina del RDP è invece facoltativa se si tratta di soggetti privati.

Punto b. Predisporre e implementare un registro delle attività di trattamento

Il responsabile del trattamento dovrà tenere un registro delle attività di trattamento svolte per conto del titolare, che contenga le informazioni di cui all’art. 30, c. 2: il nome e i dati di contatto del responsabile/dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale il responsabile agisce, il responsabile della protezione dei dati (ove applicabile); le categorie di trattamenti effettuati per conto di ogni titolare del trattamento; (ove possibile) una descrizione generale delle misure di sicurezza tecniche e organizzative.

Suggerimenti per le AdG

Alla luce della funzione di “Responsabile del trattamento”, così come definita all’art.28 del GDPR, le AdG qualora siano state identificate come responsabili (esterni) del trattamento dovrebbero implementare il registro delle attività di trattamento svolte per conto del titolare del trattamento (es. un’altra PA) contenente le informazioni di cui all’art. 30, c. 2.
Nel caso in cui le AdG rivestano, invece, il ruolo di “responsabili interni” il suddetto registro dovrà essere implementato dai beneficiari/attuatori, che coadiuvano l’amministrazione nella raccolta e nel trattamento dei dati relativi ai partecipanti ai percorsi FSE, in qualità di responsabili esterni del trattamento.
Tale registro è obbligatorio sia per i soggetti pubblici sia per i soggetti privati. La tenuta del registro è invece facoltativa nel caso di imprese o organizzazioni con meno di 250 dipendenti, a meno che non trattino dati sensibili o relativi a condanne penali.

Punto c. Effettuare un’analisi del rischio ed adottare le misure di sicurezza adeguate.

Dovrà essere allo scopo predisposto, o aggiornato se esistente, un documento di analisi dei rischi dei trattamenti effettuati per conto del titolare e adottate le misure tecniche ed organizzative adeguate a garantire un elevato livello di sicurezza.

Per dimostrare l’adeguatezza delle misure progettate/utilizzate, ai fini della protezione dei dati, si potrà fare riferimento ad eventuali meccanismi di certificazione (ex art. 42 GDPR). 

Suggerimenti per le AdG

Le AdG qualora siano individuate come responsabili interni del trattamento potranno eventualmente contribuire alla redazione del documento di analisi del rischio, elaborato dalla Regione in qualità di titolare, con riferimento alle attività di trattamento operate in ambito FSE.
L’analisi del rischio dovrebbe (invece) essere effettuata dai beneficiari/attuatori, in qualità di responsabili esterni del trattamento, allo scopo di verificare l’adeguatezza delle misure di sicurezza adottate.