Le attribuzioni e il ruolo del Responsabile del trattamento dei dati vengono disciplinate dall’art. 28 del GDPR n. 2016/679 con maggiore puntualità rispetto a quanto precedentemnte contemplato nel D.Lgs. 196/2003. Tale figura, per i compiti a essa attribuiti e nella descrizione delle sue funzioni, può essere ricondotta alla sola figura giuridica del Responsabile esterno del trattamento, in quanto fornitore di sevizi cui il titolare affida il trattamento di particolari categorie di dati personali.
Alla luce di ciò, e in attesa del completo coordinamento normativo tra Codice e GDPR, considerata l’attuale non incompatibilità formale tra la figura del Responsabile interno come disciplinata in Italia e quella del Responsabile (esterno) del trattamento prevista in Europa, non si poteva escludere che questa facoltà di nomina in capo al Titolare, prevista nel Codice, potesse permanere nella nostra disciplina nazionale.

 

formazione online

 

La Legge 167/2017, con il suo art. 28 infatti, ha modificato l’art. 29 del Codice, introducendo un nuovo comma (il comma 4 bis) e sostituendo il comma 5 dello stesso articolo. Il nuovo art. 29 del Codice, quindi, avrà questa nuova formulazione:

“Art. 29. Responsabile del trattamento.
Il responsabile è designato dal titolare facoltativamente.
Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.
I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.
4-bis. Fermo restando quanto previsto ai commi 1, 2, 3 e 4, il titolare può avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualità di responsabili del trattamento, forniscano le garanzie di cui al comma 2. I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento; i predetti atti sono adottati in conformità a schemi tipo predisposti dal Garante.

Il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma 4-bis e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle proprie istruzioni e di quanto stabilito negli atti di cui al comma 4-bis.”

Il tentativo legislativo di coordinare tra Codice e GDPR la figura interna ed esterna di Responsabile del trattamento sembra evidente, ma il risultato lascia forse un po’ a desiderare dal punto di vista della chiarezza e della sintesi.

Resta, inoltre, la considerazione che nominando responsabili del trattamento interni, questi dovrebbero avere  una autonoma capacità di nominare un DPO, di gestire un registro dei trattamenti. Il tutto, tranne in rari casi di dipartimenti staccati  e autonomi, comporterebbe una duplicazione dispendiosa e ingiustificata degli obblighi interni ain capo all'ente o azienda.

 

Clicca qui per accedere al software ActaPrivacy dedicato alla gestione di tutti gli adempimenti previsti dal Nuovo Regolamento UE 2016/679

 

2