21/02/2019
Responsabile esterno del trattamento (GDPR art. 28 2016/679)

Responsabile esterno del trattamento (GDPR art. 28 2016/679)

L’ASSODPO durante il suo recente convegno annuale (12.2.2019) a proposito del tema indicato ha suggerito di avvalersi delle guide molto esaurienti e complete redatte dall’Autorità francese sulla privacy (CNIL).

Tali guide si compongono di due parti: i principi da seguire ed un esempio effettivo di nomina/contratto di un Responsabile esterno del trattamento.

A seguire i principi da tenere presenti e da espletare nell’atto di nomina o in uno specifico contratto di prestazione cui fare riferimento.

1. Indicazione dettagliata:

- dell’oggetto del trattamento 

- della tipologia dati trattati

- delle categorie di persone interessate

2. Indicazione dettagliata degli obblighi dei contraenti

3. Le misure di sicurezza (organizzative e tecniche)

- messe in atto dal Responsabile

- la possibilità di dimostrarle

- la possibilità di controlli e verifiche effettive (da parte del Titolare)

4. La tenuta di un Registro dei trattamenti

5. La durata di conservazione dei dati dopo la chiusura del rapporto

6. L’espressa dichiarazione della confidenzialità (da parte degli autorizzati al trattamento) sui dati trattati

7. L’impegno a una comunicazione immediata (al Titolare) in caso di perdita di dati

8. La collaborazione alla stesura del Documento di Valutazione dei Rischi (del Titolare)

9. La comunicazione del proprio DPO o Delegato privacy

10. L’autorizzazione scritta del Titolare in caso di sub trattamento

Ultima nota: tutte le considerazioni di cui sopra sono applicabile a tutti i rapporti in essere, vale a dire anche se attivati prima dell’entrata in vigore del GDPR (25 maggio 2018).

L’esempio di Nomina estesa (cioè comprendente tutte le indicazioni di cui sopra) è disponibile in lingua.  

Il Responsabile esterno, in caso di inadempienza ad uno o più principi indicati, è sanzionabile da parte dell’Autorità di controllo nazionale.