Premessa

Se in un’azienda non è stato formalmente nominato un Responsabile del Trattamento dei Dati (RTD), potrebbe comunque emergere un responsabile di fatto. Vediamo cosa significa:

Secondo il Regolamento Generale sulla Protezione dei Dati (GDPR), il responsabile del trattamento è il soggetto che tratta i dati personali per conto del titolare del trattamento.

Criteri per individuare il responsabile di fatto del trattamento

E’ sempre possibile determinare chi sia di fatto il responsabile del trattamento dei dati in un’azienda anche se non formalmente nominato. In base al Regolamento Generale sulla Protezione dei Dati (GDPR), il responsabile del trattamento dei dati (Data Controller) è definito come la persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali.

Per individuare il responsabile del trattamento dei dati, si possono considerare i seguenti criteri:

  • Valutando chi ha il potere decisionale riguardo alle finalità e ai mezzi del trattamento dei dati: Questo è il principale indicatore del responsabile del trattamento.
  • Studiando la documentazione Interna: Esaminare la documentazione interna, come le policy aziendali, i contratti, i regolamenti interni e le nomine. Anche se non è formalmente nominato, la responsabilità può emergere da documenti che mostrano chi prende decisioni sui dati.
  • Osservando l’organigramma Aziendale: Analizzare l’organigramma dell’azienda per identificare chi occupa posizioni di leadership che implicano il controllo sui dati. Spesso, i dirigenti o i capi dipartimento possono essere i responsabili del trattamento.
  • Valutando le Prassi Operative: Osservare le prassi operative dell’azienda. Chi gestisce effettivamente il trattamento dei dati e prende decisioni operative su di esso può essere considerato responsabile.
  • Verificando Ruoli e Responsabilità: Valutare i ruoli e le responsabilità attribuiti ai dipendenti. Anche senza una nomina formale, chi svolge attività tipiche del responsabile del trattamento potrebbe essere considerato tale.
  • Considerando i Contratti con Terze Parti: Analizzare i contratti con fornitori e partner. Spesso questi documenti specificano chi è il responsabile del trattamento dei dati e chi il responsabile esterno (Data Processor).

In assenza di una nomina formale, l’autorità di controllo della protezione dei dati (il Garante Privacy) potrebbe basarsi su questi criteri per determinare chi sia de facto il responsabile del trattamento. In pratica, la chiave è identificare chi prende decisioni fondamentali riguardo ai dati personali trattati dall’azienda.

Anche se non formalmente nominato, il responsabile di fatto deve comunque rispettare e far rispettare gli obblighi previsti dal GDPR o dalle leggi nazionali sulla protezione dei dati.

Questi obblighi includono, tra l’altro, la notifica delle violazioni dei dati (data breach), la consulenza interna sulla privacy e la collaborazione con l’autorità di controllo.

Conseguenze della mancata nomina formale

Responsabilità legale: In assenza di un contratto formale, il titolare del trattamento potrebbe trovarsi in una posizione di vulnerabilità legale, poiché le responsabilità e gli obblighi specifici del responsabile del trattamento non sono chiaramente definiti.

Obblighi di compliance: Anche senza una nomina formale, le entità che trattano i dati personali devono comunque rispettare le disposizioni del GDPR, compresi i requisiti di sicurezza dei dati e di notifica delle violazioni.

Risorse e competenze: L’azienda deve comunque garantire che il responsabile di fatto possieda le risorse e le competenze necessarie per trattare i dati in conformità con il GDPR.

Ovviamente in caso di violazioni del GDPR, anche il responsabile del trattamento dei dati può essere ritenuto responsabile, anche se non è stato formalmente nominato.

Le conseguenze, peraltro, possono essere anche molto pesanti.

La mancata notifica di un data breach, per esempio, può comportare sanzioni significative per le organizzazioni che trattano dati personali:
se un’azienda non notifica la violazione entro 72 ore dall’evento, può essere soggetta a sanzioni fino al 4% del fatturato annuo globale o 20 milioni di euro, a seconda di quale importo sia maggiore.