Come avvocato ho ricevuto da alcune società clienti atti di nomina quale responsabile esterno del trattamento dei dati. Questo modus operandi non lo considero corretto, tanto da aver rifiutato la nomina. Ritengo, infatti, che sia necessario distinguere due profili. L’avvocato, come consulente della società, è titolare del trattamento dei dati che la riguardano, con riferimento ai soci, all’organo amministrativo e all’eventuale revisore (sia esso monocratico che collegiale). Qualora venga invece incaricato di seguire, ad esempio, una vertenza di lavoro nei confronti di un dipendente della stessa società, ritengo che diventi responsabile esterno del trattamento di quella specifica persona di cui andrà difatti a “trattare” i dati per conto del titolare (il legale rappresentante della società). Ritenete corretta questa impostazione/interpretazione?
Come giustamente scrive, esiste una distinzione di fondo fra il trattamento dati di cui un avvocato è responsabile nell’esercizio della professione e il trattamento dei dati che può svolgere per conto di un’impresa come figura esterna.
In qualità di responsabile esterno del trattamento dati (data processor), lei diventerebbe la persone che elabora i dati dell’impresa, garantendone la sicurezza, nel rispetto degli obblighi di trasparenza e delle altre norme del GDPR (art. 4, par. 1, n. 8), essendo il data processor:
la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Nulla di diverso da quanto già previsto dal Codice Privacy fino ad oggi. La vera novità sta nella regolamentazione della sua nomina, che richiede la forma scritta a carattere negoziale.
Il Data Processor può dunque essere persona fisica o giuridica, pubblica amministrazione o ente, ed essenzialmente è una figura esterna, che opera in veste di responsabile del trattamento dati. E lo fa tramite espressa nomina o contratto, con indicazione precisa di ruoli e responsabilità delle parti in causa (titolare e responsabile del trattamento).
Come spiega l’articolo 28 del GDPR:
Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.
Si tratta di un vero e proprio incarico, che in effetti potrebbe essere affidato a un avvocato o altro studio professionale.
I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
In generale, quindi, non ci sono incompatibilità ma è chiaro che il professionista è libero di accettare o meno l’incarico. E di valutare se e quanto possa essere in conflitto con il rapporto professionale che ha con l’azienda.
Tutto dipende da quali attività lei svolge per conto dell’azienda cliente che le propone la nomina.
Per completezza, ricordiamo che la figura del responsabile del trattamento dati (data processor) non va infine confusa con quella del responsabile della protezione dei dati (data protection officer), che è invece regolamentata dall’articolo 37 e seguenti del GDPR ed è ulteriormente nominata dal titolare (data controller) e del responsabile del trattamento qualora sia necessario.
Hai una domanda che vorresti fare ai nostri esperti?
Chiedi all'espertoRisposta di Barbara Weisz