Alcune perplessità in merito al fatto che il responsabile del trattamento, previsto dal regolamento europeo 679/2016, debba essere soggetto interno o esterno all’azienda. Le implicazioni sono significative e qualche considerazione è d’obbligo.
Il responsabile del trattamento è soggetto già ben noto in Italia, in quanto previsto dalla direttiva europea, recepita in Italia con decreto legislativo 196/2003.

Il regolamento europeo 679/2016 ha innovato profondamente la figura del responsabile del trattamento, conferendogli tutt’una serie di responsabilità, che richiedono indubbiamente una competenza e una conoscenza ben più approfondita, rispetto alla sbrigativa richiesta del decreto legislativo italiano, che chiedeva solo che il responsabile avesse una particolare preparazione in tema di protezione dei dati personali.

Questa situazione ha indotto molti esperti del settore a ritenere che potesse essere più opportuno designare un responsabile esterno, con un rapporto inquadrato da uno specifico contratto. Nulla da eccepire su questa impostazione, che però alcuni soggetti hanno portato alle estreme conseguenze, ritenendo addirittura che sia obbligatoria la designazione di un responsabile del trattamento, come figura terza rispetto al titolare.

Un approccio di questo tipo porterebbe a notevoli problemi di natura economica, in quanto molte aziende già sono oggi obbligate a designare un responsabile della protezione dei dati, quasi certamente esterno all’azienda, e a questo onere si dovrebbe aggiungere l’onere di designare uno o più responsabili del trattamento, anch’essi esterni all’azienda.

Ho partecipato recentemente ad una riunione dell’unione di molti comuni dell’Emilia-Romagna, laddove i sindaci hanno già manifestato le loro difficoltà in merito al reperimento di fondi per contrattualizzare i responsabili della protezione dei dati, che essi debbono obbligatoriamente designare.
Figuriamoci se a questo maggiore impegno economico dovesse anche essere associato l’impegno di designare uno o più responsabili del trattamento, esterni all’amministrazione.

Nei numerosi corsi ed incontri che sto tenendo da qualche mese, do un messaggio uniforme a tutti i presenti: “se qualcuno di voi è oggi responsabile del trattamento, presenti le sue dimissioni, a valere dal 25 maggio 2018, per rinegoziare in modo appropriato questa designazione!”.

È infatti doveroso sottolineare come la maggiore professionalità richiesta ad un responsabile del trattamento, conforme alle indicazioni del regolamento europeo, richieda come minimo la partecipazione a corsi specializzati di aggiornamento professionale, e come passo successivo la stipula di un accordo con il datore di lavoro, nella fattispecie in qualità di titolare, per garantire che il responsabile del trattamento abbia tutti gli strumenti per far fronte alle sue nuove responsabilità.

Se poi a tali maggiori responsabilità debba essere associato anche un riconoscimento economico, è argomento che esula dalle mie considerazioni.

Una attenta lettura del regolamento e l’osservazione di quanto già avviene in altri paesi europei conferma che non vi è alcun ostacolo giuridico alla designazione di un responsabile del trattamento, interno all’organizzazione, mentre certamente vi è un obbligo, da parte del titolare, di accertarsi che il responsabile abbia le competenze e gli strumenti per adempiere agli incarichi, che il regolamento gli attribuisce.

Ben diversa è la situazione del responsabile della protezione dei dati, che è figura ben nota nel resto d’Europa ma affatto nuova in Italia.

In questo caso è del tutto legittimo ritenere che all’interno dell’organizzazione non esista alcun soggetto che abbia un profilo professionale adeguato ed è pertanto del tutto normale che il titolare ricorra al supporto di soggetti esterni, siano essi persone fisiche o persone giuridiche.

Al proposito, è bene rammentare che anche all’estero si richiede che, ove il responsabile della protezione dei dati sia soggetto giuridico, sia comunque chiaramente indicato il nome di una persona fisica, cui fare riferimento in caso di necessità.

Illustro umilmente lettori ai questo mio punto di vista, pronto a confrontarmi con altre interpretazioni, che devono però essere sempre tali da adattarsi ad uno scenario economico e normativo, già messo sotto alta pressione da tutti gli interventi richiesti dal regolamento europeo e che certo non ha bisogno di ulteriori elementi di appesantimento organizzativo ed economico.

Fonti: Adalberto Biasiotti, Puntosicuro.it