Cos'è un Responsabile del trattamento secondo il Gdpr?

Il Regolamento generale sulla protezione dei dati (GDPR) definisce esplicitamente il responsabile del trattamento come "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento" (Regolamento (UE) 2016/679, Art. 4(8)). Questa definizione sottolinea il ruolo del responsabile come entità che non possiede né controlla i dati, ma agisce rigorosamente secondo le istruzioni del titolare del trattamento.

Centrale nel quadro del GDPR è la distinzione tra titolari del trattamento e responsabili del trattamento. Mentre i titolari determinano le finalità e i mezzi del trattamento dei dati personali, i responsabili si limitano a eseguire le attività di trattamento. Questa distinzione è fondamentale perché definisce l'ambito delle responsabilità legali e degli obblighi normativi. I responsabili del trattamento, sebbene non siano tenuti alla conformità generale allo stesso modo dei titolari, sono obbligati ai sensi dell'articolo 28 a:

• Attuare misure organizzative e tecniche adeguate per garantire la sicurezza dei dati.
• Trattare i dati solo su istruzione documentata del titolare del trattamento.
• Tenere un registro delle attività di trattamento.
• Collaborare con le autorità di controllo quando necessario.

Esempi comunemente citati di responsabili del trattamento includono servizi di terze parti come:

• Strumenti di analisi (es. Google Analytics)
• Fornitori di software di contabilità
• Software per la gestione delle risorse umane
• Strumenti di ricerca di mercato

Questi responsabili trattano i dati personali in base ad accordi contrattuali ma non decidono la finalità o i mezzi del trattamento, distinguendosi così dai titolari (Voigt & Von dem Bussche, 2017).

Il quadro giuridico attribuisce ai responsabili la responsabilità di mantenere elevati standard di protezione dei dati, ma non concede loro l'autonomia di prendere decisioni sull'utilizzo dei dati. Ciò limita la responsabilità dei responsabili principalmente all'adesione alle istruzioni del titolare e alla conformità al GDPR nelle loro attività di trattamento. La mancata conformità può comportare sanzioni, sottolineando il loro ruolo critico nell'ecosistema della protezione dei dati (Kuner, 2018).

In sintesi, il GDPR posiziona i responsabili del trattamento come entità che eseguono attività di trattamento sotto la direzione dei titolari, imponendo una stretta aderenza alle misure di sicurezza e alle istruzioni legittime, senza avere la proprietà o l'autorità decisionale sui dati personali che gestiscono.