Nel contesto della protezione dei dati e della conformità alla normativa, le figure dei responsabili esterni nel GDPR, chiamati anche subresponsabili o responsabili in out sourcing dei dati, rivestono un ruolo cruciale.
Sebbene il Regolamento Generale sulla Protezione dei Dati si concentri principalmente sulle responsabilità del titolare del trattamento e del responsabile del trattamento dei dati (RTD), i responsabili esterni sono soggetti terzi incaricati dal titolare o dal responsabile del trattamento di gestire dati personali per conto di quest'ultimi. Si tratta di figure cruciali che operano sotto la direzione e supervisione del titolare o del responsabile, contribuendo alla corretta gestione del trattamento.
I responsabili esterni nel GDPR sono soggetti terzi che trattano dati personali su delega del titolare o del responsabile del trattamento. Ad esempio, commercialisti, consulenti legali, fornitori di servizi IT o addetti alla videosorveglianza sono considerati responsabili esterni in quanto gestiscono dati al di fuori dell’azienda ma per conto di essa.
Alcuni esempi di responsabili esterni includono:
Anche se i responsabili esterni nel GDPR operano sotto la supervisione del responsabile del trattamento, ciò non li esime dalle proprie responsabilità legali e dalle obbligazioni in materia di protezione dei dati. Essi devono conformarsi agli stessi standard di sicurezza e privacy previsti dal GDPR e da altre normative applicabili.
I subresponsabili o responsabili in out sourcing sono nominati dal responsabile del trattamento mediante un negozio giuridico, ossia un contratto, attraverso cui è permesso a questi soggetti di trattare i dati personali dell’azienda stessa. Tra le loro responsabilità principali vi è quella di garantire la sicurezza dei dati personali trattati e di adottare adeguate misure di protezione, prevenendo accessi non autorizzati, perdite o divulgazioni indebite dei dati. Inoltre, devono collaborare attivamente con il responsabile del trattamento per garantire la conformità normativa e rispondere prontamente a eventuali richieste o segnalazioni riguardanti la protezione dei dati che sono incaricati a trattare.
La nomina e la gestione dei responsabili esterni deve avvenire in conformità con le disposizioni del GDPR.
Il responsabile del trattamento è responsabile della selezione e dell'incarico dei subresponsabili dei dati, nonché della definizione dei relativi obblighi contrattuali in materia di protezione dei dati.
È fondamentale che i contratti stipulati con i subresponsabili dei dati contengano disposizioni specifiche in merito alle responsabilità del subresponsabile, alle misure di sicurezza da adottare, alle modalità di gestione dei dati e alle procedure per la risoluzione delle controversie in materia di protezione dei dati. Devono essere esplicitate finalità del trattamento e gli obblighi a cui questa particolare categoria di soggetti deve attenersi.
In conclusione, i subresponsabili dei dati svolgono un ruolo essenziale nella catena di responsabilità della protezione dei dati. La loro corretta selezione, gestione e supervisione sono fondamentali per garantire la conformità normativa e proteggere efficacemente i dati personali degli interessati. Solo attraverso una stretta collaborazione e una vigilanza attenta sia da parte del responsabile del trattamento sia dei subresponsabili dei dati, è possibile assicurare un adeguato livello di protezione dei dati e mantenere la fiducia dei clienti e degli interessati. È anche per questo che la normativa richiede specifici livelli di personalizzazione degli incarichi e delle informative sul trattamento: per garantire quanto più possibile definizioni coerenti con la tipologia, le modalità e le finalità del trattamento dei dati.