In azienda abbiamo fatto redigere un manuale privacy che riconosce ruoli e responsabilità in materia di trattamento di dati. Nelle nomine delle persone autorizzate /responsabili esterni, figura anche la banca, la quale – nel momento in cui ho inviato la PEC – mi ha però risposto che questa lettera di nomina non è corretta in quanto è titolare del trattamento. Ha ragione la banca o la società che ha redatto il manuale? Cosa fare per adempiere ai miei obblighi?
Risposta a cura di Idea Services
(per approfondimenti: esperto.risponde@ideaservices.eu)
All’articolo 4, comma 7, GDPR viene definito come “Titolare del trattamento dei dati” la persona fisica o giuridica, l’Autorità pubblica, il servizio o ogni altro organismo che, singolarmente o insieme ad altri, determina finalità e mezzi del trattamento effettuato.
In altri termini, Titolare è colui il quale stabilisce le modalità e il motivo della raccolta dati, nonché in concreto quali dati saranno raccolti, elaborati e chi ne avrà accesso, cioè nella pratica è colui che tratta i dati senza ricevere istruzioni da altri, ovvero il soggetto che decide “perché” e “come” devono essere trattati i dati.
Inoltre il Titolare, sulla base dell’Art. 28 del Regolamento prevede dettagliatamente le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti e obbligandolo a misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite e delle disposizioni contenute nel Regolamento.
Per quanto riguarda il caso specifico, cioè quello relativo alla nomina di una banca, è da valutare che – a seguito delle premesse di cui sopra – la stessa è più identificabile come un Autonomo Titolare del Trattamento in quanto per la complessità della gestione dei dati al suo interno (che prevede il riferimento a normative ulteriori e altrettanto vincolanti, quali a titolo esemplificativo disposizioni di vigilanza della Banca d’Italia, disposizioni contenute nelle prescrizioni in materia di tracciamento degli accessi ai dati bancari dei clienti, tempi di conservazione dei relativi file di log e implementazione di alert di rilevazione di intrusioni o accessi anomali ai dati bancari), segue misure di sicurezza diverse e più stringenti in grado di garantire un livello di sicurezza “adeguato al rischio”.
=> GDPR Privacy: da fine maggio le sanzioni
In questo caso possiamo dire che una banca gestisce i dati, il motivo e le modalità del trattamento in maniera autonoma ed è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa.
Per maggiori approfondimenti non esitate a contattarci (esperto.risponde@ideaservices.eu)
Hai una domanda che vorresti fare ai nostri esperti?
Chiedi all'espertoRisposta di Anna Fabi