GDPR 2018, la figura del sub-responsabile

La data cerchiata in rosso sul calendario è il 25 maggio 2018, quando diventerà operativo, anche in Italia, il GDPR 2018, che letteralmente sta per “General Data Protection Regulation”, in pratica il nuovo Codice della privacy. Un testo aggiornato e fortemente voluto da tutti gli Stati Membri dell’Unione Europea, e che sostituirà in pieno il codice del 1995 e il successivo codice in materia di protezione dei dati personali del 2003.  Tante le novità previste, non solo per i singoli cittadini, ma anche e soprattutto per le aziende e le pubbliche amministrazioni. L’articolo 5 del GDPR 2018, ad esempio, prevede una serie di principi validi per il trattamento dei dati, incluso quello della “responsabilizzazione” che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, tutti gli altri principi. Le amministrazioni, così come suggerito dal Garante per la protezione dei dati personali, dovranno, dunque, dotarsi di un Responsabile della protezione dei dati, di un Registro delle attività di trattamento e prepararsi alla notifica delle violazioni dei dati personali.

Il nuovo regolamento, infatti, è stato concepito in un contesto completamente modificato, dove lo scambio delle informazioni e la comunicazione sono costanti, e avvengono attraverso innumerevoli mezzi. Situazioni in cui hanno sempre più peso la differenziazione organizzativa e l’esternalizzazione dei servizi. Non solo, dunque, più relazioni, ma anche più soggetti coinvolti. Contratti più complessi e “multilivello”, dunque, portano a una molteplice trattazione dei dati personali, ecco che, il nuovo regolamento, all’articolo 28 (Responsabile del trattamento) prevede che “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” e che “Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche”.

Viene istituita, così, la figura del sub-responsabile. Dunque se il responsabile del trattamento è scelto direttamente dal titolare del trattamento, che possiede tutta una serie di poteri, è possibile che la responsabilità venga, poi, ripartita, anche se rimane “l’opportunità di opporsi”. Il responsabile, designato dal titolare, dunque, dovrà sempre informare il titolare stesso di eventuali modifiche.  Si tratta, comunque, dell’unico caso in cui il responsabile ha una certa titolarità. In generale anche il sub-responsabile avrà gli stessi obblighi e lo stesso rapporto di subordinazione del responsabile, e opererà per conto del titolare.

Concludendo, dunque, questo schema di relazione tra titolare e responsabili appare, sulla carta, efficace, ma andrà di certo implementato in base ai singoli contesti di trattamento dei dati personali.