Uno dei difetti dell’attuale normativa che è stato mantenuto nel GDPR è l’uso dello stesso termine per definire sia i Responsabili di trattamento interni ad un’organizzazione (in genere dirigenti o funzionari), sia quelli esterni (in genere società outsourcer o fornitori di servizi).
Tralasciando le conseguenze attuali di tali definizioni prendiamo in considerazione gli elementi innovativi del GDPR.
Quest’ultimo attribuisce al Responsabile di trattamento una reale corresponsabilità con il Titolare, tanto che è soggetto alle medesime pesantissime sanzioni.
Questo comporterà sicuramente una rinegoziazione anche in termini economici dei contratti in essere, considerando che un Responsabile esterno rischierà molto di più di oggi per lo svolgimento della propria attività.
Ma che dire di un dipendente di un’azienda che, in base alla sua designazione, rischia le medesime sanzioni dell’organizzazione da cui dipende (a differenza ad esempio del suo stesso A.D. che non è chiamato a rispondere nello stesso modo)?
In questo contesto ben difficilmente qualcuno accetterà una designazione a Responsabile interno con le nuove regole del GDPR, anche in presenza di generosi compensi.
Per contro nulla vieta al Titolare di creare un proprio organigramma privacy con una adeguata attribuzione di livelli di responsabilità diversi e compiti fra le varie figure.
È quindi probabile che la figura del Responsabile interno sarà destinata a scomparire, sostituita da ruoli meno impegnativi dal punto di vista delle responsabilità oggettive.