Il Responsabile del Trattamento e gli Amministratori di Sistema

Il Responsabile del Trattamento

Il fondamentale principio della “responsabilizzazione”, sul quale il GDPR (Regolamento Generale Europeo in materia di Protezione dei Dati personali) pone molta enfasi, richiede ai Titolari del trattamento una corretta individuazione dei ruoli che si ricoprono nel flusso informativo.

Richiede inoltre la formalizzazione di questi rapporti mediante uno specifico atto, contratto o accordo che precisi le condizioni del trattamento e individui le istruzioni da seguire, soprattutto dal punto di vista della sicurezza (Art. 28 del Regolamento).

L’Art. 4, par. 1, nr. 7) del GDPR definisce Responsabile “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratti dati personali per conto del Titolare del trattamento”.

Si tratta di un soggetto che – esternamente rispetto alla organizzazione del Titolare – tratta, per esigenza di quest’ultimo, informazioni che sono state raccolte per una finalità che è (e rimane) del Titolare.

Si pensi, ad esempio, al Professionista o alla Società che elaborano le paghe dei dipendenti del nostro Studio, oppure al Consulente del lavoro. Questi ultimi trattano dati di nostri lavoratori per nostro conto (poiché non avrebbero, diversamente, alcun interesse a farlo).

Un altro tipico esempio può essere fatto in relazione alle società o ai professionisti che si occupano, per conto del Titolare, di reperire forza lavoro (come le agenzie di lavoro interinale), o allo studio di un commercialista o, ancora, a coloro cui affidiamo la sicurezza dei sistemi informatici e tecnologici.

A volte, tuttavia, non è agevole individuare un “Responsabile”. In questo senso, può essere d’aiuto verificare se un determinato trattamento potrebbe essere, o meno, effettuato direttamente dal Titolare.

In caso di risposta positiva, è probabile ci si trovi di fronte a un Responsabile. La scelta di demandare ad altri alcune operazioni, infatti, risponde a una scelta organizzativa e gestionale del Titolare che, volendo, potrebbe effettuare direttamente quel trattamento.

Al contrario, un trattamento potrebbe non essere eseguito che tramite quel determinato soggetto. Si pensi, ad esempio, al recupero dei crediti condominiali per via giudiziale da parte di un Avvocato: la difesa e il patrocinio dinanzi all’Autorità Giudiziaria non potrebbero essere effettuati direttamente dall’Amministratore. In questo caso, parleremmo di un autonomo Titolare.

Gli Amministratori di Sistema (A.d.S.)

Alcuni anni fa, con il Provvedimento di carattere generale del 27 novembre 2008, intitolato “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici”, il Garante della Privacy ha individuato alcune funzioni nelle quali le operazioni di trattamento possono comportare particolari privilegi per l’accesso ai dati personali, così come quando le attività svolte rendono tecnicamente possibile l’accesso, anche fortuito, a dati personali.

Tali ipotesi determinano la necessità di prevedere e organizzare una maggiore tutela. Il Garante ha quindi stabilito che “amministratori di sistema” devono essere ritenute sia le figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, sia altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, come gli amministratori di database, gli amministratori di reti e di apparati di sicurezza o gli amministratori di software complessi.

Si ritiene generalmente che, per quanto datato, questo provvedimento debba tuttora essere ritenuto prescrittivo, anche se letto alla luce del nuovo Regolamento Europeo. Di conseguenza, anche coloro che svolgono attività come la gestione delle credenziali di autorizzazione e autenticazione, la manutenzione di un sito web o di una base di dati conferiti in outsourcing, la gestione di flussi di dati o di software vari, il salvataggio (backup/recovery), la cancellazione dai supporti di memorizzazione e in generale l’aggiornamento dei sistemi, sono da qualificarsi quali Amministratori di Sistema. Con tali soggetti dovrà quindi essere stipulato un atto giuridico vincolante che determini e precisi le modalità, le caratteristiche e gli obblighi derivanti da tali trattamenti.

Gli Amministratori di Condominio

In un articolo precedente abbiamo rilevato come in Condominio la Titolarità del trattamento spetti all’Ente condominiale complessivamente considerato ma che, tuttavia, il trattamento avvenga, “… in termini generali, … di regola con l’ausilio dell’amministratore … nell’eventuale veste di responsabile del trattamento…(Prescrizioni Garante del 18 maggio 2006).

Di recente, l’URP dell’Autorità (Ufficio Relazioni con il Pubblico) ha fornito un riscontro a una specifica richiesta e ribadito che “la nomina dell’amministratore è assolutamente indipendente dalla nomina del Responsabile e che, soprattutto, tale nomina non è obbligatoria” (Fonte: www.quotidianocondominio.ilsole24ore.com).

Tuttavia, si deve sottolineare che un corretto adeguamento non può non tenere conto della Titolarità del trattamento in capo al Condominio e, dall’altro, della presenza dell’Amministratore che ne è il legale rappresentante. Quest’ultimo, infatti, compie attività che gli sono demandate, sia nel contesto dei compiti conferiti con il contratto di mandato ad amministrare, sia nel contesto di precisi obblighi di legge (si pensi alla tenuta dell’anagrafe condominiale).

Un suggerimento che ci sentiamo di fornire è quello dell’attenta previsione, anche in Condominio, degli obblighi, dei compiti e delle istruzioni che l’Art. 28 impone a coloro che trattano dati per conto di altri. Ciò dovrebbe suggerire un’apposita delibera assembleare con attento conferimento di compiti, obblighi e indicazioni in materia di trattamento, al fine della tutela di tutti i Soggetti Interessati.

 

Avv. Andrea Broglia

2019-06-08T12:31:55+02:0003.06.2019|