Cookie free: nessun "biscotto" per spiare i lettori

Una poco attenta lettura del GDPR può creare molti problemi

Attenzione: il tecnico non è "responsabile del trattamento"

Privacy e sicurezza - Manlio Cammarata - 11 giugno.2018

In questi giorni molti titolari di trattamenti di dati personali inviano una comunicazione di nomina a "responsabile del trattamento" ai professionisti o alle aziende che curano il progetto, la messa in opera e (soprattutto) la manutenzione di sistemi informatici in cui sono trattati di dati personali.

E' un errore: il tecnico non solo non ha una qualsiasi responsabilità nel trattamento dei dati, ma, nella sostanza, gli è vietato trattarli. E si potrebbero verificare conseguenze pesanti sia per i Titolari che per i nominati (loro malgrado) "responsabili". Vediamo perché.

Il GDPR, art 28, paragrafo 1, dice: "Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato".

Dunque il Responsabile opera "per conto" del Titolare, cioè tratta dati personali al suo posto. Per questo deve presentare "garanzie sufficienti" affinché "il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato".

E' ovvio che (quasi sempre, se non sempre) il sistemista o il manutentore o il fornitore di hosting non offrono le "garanzie sufficienti" per soddisfare i requisiti del GDPR e garantire la tutela dei diritti dell'interessato.
In ogni caso queste figure non "trattano" dati personali, li possono solo vedere, ovvero "ne hanno accesso" (secondo la formulazione del successivo art. 29) casualmente, nel corso delle normali operazioni di aggiornamento, assistenza e manutenzione dei sistemi. 

Questo casuale "accesso" non costituisce un trattamento ai sensi dell'art. 4, che definisce come  "«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;".

Dunque il tecnico (o, per fare un altro esempio, il fornitore della conservazione in cloud) non compiono "operazioni applicate ai dati personali", ma si occupano soltanto delle macchine, hardware e software, che servono a trattare i dati. Tutto ciò rientra nelle previsioni dell'art. 29, (Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento), che dice: "Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri".

Dunque è opportuno che il Titolare o il Responsabile impartiscano istruzioni (scritte) agli addetti ai sistemi, in cui sia specificamente vietato di "trattare" dati personali a cui abbiano accesso e siano vincolati a uno stretto segreto professionale.

Il problema è serio, perché nel caso in cui il tecnico sia nominato responsabile, il titolare potrebbe incorrere in gravi conseguenze, se il tecnico non ha le competenze organizzative e legali necessarie ad assicurare la rispondenza dei trattamenti al Regolamento. Quindi il Titolare o il Responsabile violerebbero la previsione del primo paragrafo dell'art. 28, nominando responsabile un soggetto che non offre le "garanzie sufficienti" prescritte.

Non basta. Anche il tecnico indebitamente nominato responsabile potrebbe passare i suoi guai. Infatti sarebbe obbligato a tutti gli adempimenti previsti dall'art. 28, rischiando le sanzioni previste per ogni violazione.

E le sanzioni, come sappiamo, non sono simboliche.