responsabile del trattamento dei dati

Gdpr per avvocati: il responsabile del trattamento dei dati

Chi è il responsabile del trattamento dei dati?

Per essere chiari, scordiamoci la figura del responsabile interno del trattamento dei dati; quando parliamo di responsabile del trattamento dei dati, secondo il GDPR, ci riferiamo solo ed esclusivamente al responsabile esterno.
Per intenderci, lo studio legale associato o la società tra avvocati non deve nominare alcun responsabile interno, perché questa figura che era un’anomalia tutta italiana, dopo l’entrata in vigore del Regolamento Europeo 679/2016, non esiste più.
Come avvocati, cioè come titolari del trattamento dei dati, dobbiamo invece nominare dei responsabili esterni. Chi sono quindi costoro?
Molto semplicemente sono soggetti a cui esternalizziamo, diamo in outsourcing alcuni trattamenti di dati. Ad esempio:

  • il consulente del lavoro relativamente ai dati delle impiegate;
  • Servicematica per il servizio di conservazione digitale dei documenti;
  • Aruba quale web hosting (locatore dello spazio web) per il servizio di posta elettronica certificata;
  • Google per il servizio di Gmail;
  • Giuffrè, o meglio Faber System o, perché no, Amazon Web Services per il servizio di fatturazione elettronica;
  • ed ancora Giuffrè o Servicematica per la trasmissione dei dati ai fini del processo telematico.

Cos’hanno in comune tutti questi soggetti?

Trattano dati personali per conto dell’avvocato che è il titolare del trattamento.

Per questo motivo devono attenersi alle istruzioni dell’avvocato.

Come dobbiamo qualificare il commercialista dello studio legale?

Tutto chiaro? Cosa? Mi sono dimenticato il Commercialista?

In effetti il commercialista è un caso a parte.

Il Garante Italiano Europeo per la protezione dei dati, Dott. Buttarelli, nonostante taluni la pensino ancora diversamente, ha qualificato il commercialista esattamente come l’Avvocato, cioè un titolare autonomo del trattamento dei dati, quando si limita a farci la dichiarazione dei redditi ed i conteggi per il pagamento delle tasse. Quando invece fa un’attività più consulenziale è un responsabile esterno del trattamento dei dati.
Non tutti concordano con questa impostazione, quindi suggerisco di chiedere al commercialista come preferisce essere qualificato e che Dio ce la mandi buona per la risposta che potremo ricevere.

Quali trattamenti effettua il responsabile esterno del trattamento dei dati?

Tenete ora presente che per trattamento dei dati si intende anche solo la conservazione o la trasmissione o addirittura la semplice consultazione. Per questo motivo tra i responsabili esterni ci troviamo anche gmail, piuttosto che Aruba.
La nozione di trattamento la trovate all’art. 4 comma 2 del Regolamento Europeo.
I responsabili esterni in ragione della loro competenza tecnica, godono di una certa discrezionalità, all’interno dei paletti che vengono fissati loro dal titolare del trattamento, cioè dall’avvocato.

Differenza tra titolare del trattamento dei dati e responsabile esterno

Se non avete ancora chiara la differenza tra titolare e responsabile esterno, non preoccupatevi. E’ assolutamente normale.

La traduzione in lingua italiana di questi due ruoli, infatti, è pessima. Pensate, il Governo Italiano ha chiesto un’espressa deroga all’Europa per continuare ad utilizzare la vecchia terminologia che non fa altro che confusione.
In realtà il titolare del trattamento è quello che in inglese viene definito il Controller.

Immaginate, anzi guardate vostro figlio che gioca alla playstation. Cos’è il controller? E’ il joistick del comando che non riuscite mai a togliergli di mano. Il Controller è quindi colui che decide cosa fare e come farlo.

Il responsabile esterno, invece, è in inglese il Processor, cioè colui che processa il dato, cioè il soggetto a cui abbiamo appaltato un processo aziendale o dello studio.

La nomina del responsabile esterno del trattamento dei dati

Se si ricorre a responsabili esterni del trattamento dei dati, la loro nomina è un atto obbligatorio. Il contratto di nomina è previsto dall’art. 28 GDPR. E ricordati, la nomina va accettata, per questo è un contratto.

Nella prossima puntata analizzeremo il contenuto di questa nomina. A presto!