Nomina dei resonsabili

di | 7 March 2017
2 commenti

Il GDPR riporta agli articoli 28 e 29 le modalità di nomina dei responsabili (processor) del trattamento. In particolare, richiede che la nomina avvenga attraverso contratto o da altro atto giuridico.

  • oggetto delle attività affidate, includendo la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati;
  • clausole di riservatezza;
  • garanzia di aver stipulato con il personale con accesso ai dati un obbligo di riservatezza;
  • divieto di uso di fornitori da parte del responsabile per il trattamento dei dati senza autorizzazione del titolare;
  • impegno, in caso di uso autorizzato di fornitori del responsabile, di prevedere un contratto scritto con riportati i medesimi a cui è soggetto il responsabile;
  • le regole da seguire nel trattamento dei dati per controllare i rischi di accesso non autorizzato, divulgazione, mancanza di integrità e indisponibilità dei dati, sia accidentali sia illegali;
  • divieto, senza previa autorizzazione del titolare, di trasmettere o conservare i dati in Paesi extra-UE o di fornire accesso a tali dati a personale sito in Paesi Extra-UE;
  • l’impegno a verificare periodicamente l’efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento;
  • l’impegno a dare seguito alle richieste avanzate dal titolare o dagli interessati per dare seguito all’esercizio dei diritti degli interessati al trattamento dei dati personali in modo da poter dare loro risposta entro 30 giorni dalla richiesta;
  • l’impegno a comunicare al titolare eventuali violazioni ai dati personali trattati e fornire assistenza al titolare nel caso in cui si manifestino tali eventi;
  • la cancellazione o restituzione dei dati al termine delle prestazioni;
  • il diritto di audit da parte del titolare.

Si tratta di clausole molto impegnative.

Considerando anche quanto scritto da Gianfranco Butti in un suo articolo (https://blog.europrivacy.org/it/2016/07/19/the-internal-data-processor-and-the-gdpr/) sembra che il ruolo di “responsabile” sia applicabile solo a organizzazioni, non a singole persone.

Ed è logico. Infatti in molte aziende le responsabilità interne non prevedono solo 3 livelli gerarchici (titolare, responsabile e incaricato), ma sono descritte in organigrammi anche molto complessi e governate dalla Direzione, che svolge quindi il ruolo del rappresentante del titolare.

Categoria: Ruoli e Responsabilità Tag:

Informazioni su Cesare Gallotti

More than 15 years of experience in information security and IT process management. Italian representative in ISO/IEC SC 27 WG1 international meetings for writing ISO/IEC 27000 standard family. Activities in Italy, Europe, Asia and Africa, for companies of various sizes and market sectors. Consultancy, training and audit for: information security, quality, compliance with legal requirements (Personal Data Protection, SOX, etc.), compliance with international standards (ISO 9001, ISO/IEC 27001, ISO/IEC 20000, ISO 22301, etc.), and processes improvement.

2 pensieri su “Nomina dei resonsabili

  1. silvia stefanelli

    grazie dell’intervento
    sto anch’io lavorando molto su questo tema nel rapporto tra ASL e strutture private accreditata/contrattualizzate che erogano prestazioni in nome e per conto della stessa ASL

    segnalo il documento pubblicato dall’autorità spagnola all’inizio di gennaio 2017 che dà indicazioni sulle modlaità di creazione del contratto
    https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/directricescontratos.pdf

    saluti a tutti

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.