Cookie free: nessun "biscotto" per spiare i lettori

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

 

Una poco attenta lettura del GDPR può creare molti problemi

Attenzione: il tecnico non è "responsabile del trattamento"

Privacy e sicurezza - Manlio Cammarata - 11 giugno.2018

La pioggia di nomine a "responsabile del trattamento" che si sta abbattendo su produttori di software e addetti all'assistenza è frutto di un'errata lettura del GDPR. Che può avere gravi conseguenze per Titolari e presunti Responsabili.

In questi giorni molti titolari di trattamenti di dati personali inviano una comunicazione di nomina a "responsabile del trattamento" ai professionisti o alle aziende che curano il progetto, la messa in opera e (soprattutto) la manutenzione di sistemi informatici in cui sono trattati di dati personali.

E' un errore: il tecnico non solo non ha una qualsiasi responsabilità nel trattamento dei dati, ma, nella sostanza, gli è vietato trattarli. E si potrebbero verificare conseguenze pesanti sia per i Titolari che per i nominati (loro malgrado) "responsabili". Vediamo perché.

Il GDPR, art 28, paragrafo 1, dice: "Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato".

Dunque il Responsabile opera "per conto" del Titolare, cioè tratta dati personali al suo posto. Per questo deve presentare "garanzie sufficienti" affinché "il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato".

E' ovvio che (quasi sempre, se non sempre) il sistemista o il manutentore o il fornitore di hosting non offrono le "garanzie sufficienti" per soddisfare i requisiti del GDPR e garantire la tutela dei diritti dell'interessato.
In ogni caso queste figure non "trattano" dati personali, li possono solo vedere, ovvero "ne hanno accesso" (secondo la formulazione del successivo art. 29) casualmente, nel corso delle normali operazioni di aggiornamento, assistenza e manutenzione dei sistemi. 

Questo casuale "accesso" non costituisce un trattamento ai sensi dell'art. 4, che definisce come  "«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;".

Dunque il tecnico (o, per fare un altro esempio, il fornitore della conservazione in cloud) non compiono "operazioni applicate ai dati personali", ma si occupano soltanto delle macchine, hardware e software, che servono a trattare i dati. Tutto ciò rientra nelle previsioni dell'art. 29, (Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento), che dice: "Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri".

Dunque è opportuno che il Titolare o il Responsabile impartiscano istruzioni (scritte) agli addetti ai sistemi, in cui sia specificamente vietato di "trattare" dati personali a cui abbiano accesso e siano vincolati a uno stretto segreto professionale.

Il problema è serio, perché nel caso in cui il tecnico sia nominato responsabile, il titolare potrebbe incorrere in gravi conseguenze, se il tecnico non ha le competenze organizzative e legali necessarie ad assicurare la rispondenza dei trattamenti al Regolamento. Quindi il Titolare o il Responsabile violerebbero la previsione del primo paragrafo dell'art. 28, nominando responsabile un soggetto che non offre le "garanzie sufficienti" prescritte.

Non basta. Anche il tecnico indebitamente nominato responsabile potrebbe passare i suoi guai. Infatti sarebbe obbligato a tutti gli adempimenti previsti dall'art. 28, rischiando le sanzioni previste per ogni violazione.

E le sanzioni, come sappiamo, non sono simboliche.

Per intervenire su questo argomento clicca qui
Inizio pagina     Indice di questa sezione      Home
InterLex su Facebook
Manlio Cammarata - Non è Casablanca, colonnello Rey
Libia 2015.
L'agente senza pistola
tra i tagliagole dell'ISIS.
Leggi tutto
Le recensioni
ebook  € 2,99 - Acquistalo
Il colonnello Rey - Facebook
Manlio Cammarata - Un doppio enigma, colonnello Rey
Un omicidio in una stanza chiusa. Una storia di spie, traditori e codici segreti.
Leggi tutto
Le recensioni
ebook  € 2,99 - Acquistalo
Manlio Cammarata - Il colonnello Rey, suppongo
Un giornalista che scompare.
Una "talpa" nel Palazzo. Un agente segreto senza pistola. 
Leggi tutto
Le recensioni
ebook  € 2,99 - Acquistalo

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2018 -  Informazioni sul copyrightPrivacy