Entra nella community

Responsabile del trattamento: chi lo è davvero?

Cruciale individuare e attribuire le corrette qualifiche a tutti i soggetti che operano nella processazione dei dati personali.

Nel concreto, però, non sempre è immediato stabilire chi sia titolare e chi responsabile.

È indispensabile valutare caso per caso la natura del rapporto contrattuale (fornitura, partnership, franchising, consulenza, ecc.), la tipologia delle attività svolte e – soprattutto – il potere decisionale su come e perché i dati vengano trattati.

Il Regolamento, con le sue regole, ed il Garante, con la giusta interpretazione, ci aiutano a fare chiarezza.

Per questo oggi vi portiamo un caso concreto che mostra bene quanto sia facile cadere in errore quando si tratta di nomine ex art. 28 GDPR, spesso confuse tra “esterni” o addirittura “terzi”, con il rischio di compromettere la compliance.

Ogni settimana in Privacy in azienda affrontiamo casi reali raccontati con linguaggio chiaro e un approccio pratico.

Perché la privacy non è un obbligo da subire.

È fiducia da conquistare, è rischio da prevenire, è vantaggio competitivo.

Leggi IL CASO completo

Condividi:

IL CASO

App di prenotazione ed elimina-code

Sempre più enti pubblici e privati si affidano ad applicazioni per gestire prenotazioni, appuntamenti o servizi agli utenti.

È il caso di un noto sistema di “elimina code”, utilizzato da Comuni, strutture sanitarie e professionisti.

Il funzionamento è semplice:

  • l’utente crea un account con i propri dati personali (nome, cognome, codice fiscale, cellulare, email, recapito facoltativo);
  • sceglie la struttura, la data, l’orario e il servizio;
  • riceve un riepilogo via e-mail.

Il sistema consente anche modifiche da terzi, inserendo i loro dati personali, e raccoglie informazioni sui dipendenti degli enti (es. addetti agli sportelli).

Il software è fornito in licenza d’uso:

  • i dati degli account restano sui server della società;
  • i dati delle prenotazioni sono memorizzati sia sui server della società sia su quelli degli enti clienti.

La società fornitrice si occupa anche di assistenza e manutenzione, accedendo da remoto ai server dei clienti tramite VPN e credenziali fornite dagli stessi.

Il nodo dell’assistenza tecnica

Qui nasce il punto critico:

  • per garantire supporto, la società accedeva direttamente ai gestionali installati presso i clienti;
  • in questo modo trattava dati personali di utenti e dipendenti;
  • eppure nessun cliente l’aveva formalmente nominata responsabile del trattamento

Questo ha comportato trattamenti privi di idoneo presupposto di liceità, in violazione degli artt. artt. 5, par. 1, lett. a) ed e) nonché artt. 6 e 9 e 28 del Regolamento.

Cosa tenere a mente

Il GDPR distingue con chiarezza:

  • Titolare del trattamento: decide finalità e mezzi, ed è responsabile in via generale.
  • Responsabile del trattamento: opera “per conto” del titolare, solo su istruzioni documentate e in forza di un contratto scritto (art. 28 GDPR).

Quel contratto deve contenere indicazioni precise su durata, finalità, categorie di dati e interessati, e non limitarsi a clausole generiche.

Lo spunto di riflessione

Il caso ci insegna che occorre sempre analizzare concretamente le attività svolte dai fornitori, con contratti chiari che specifichino compiti, limiti e misure di sicurezza.

Solo conoscendo cosa fa davvero un soggetto attivo si può prevenire un trattamento illecito.

E una provocazione: se la società utilizzasse la banca dati degli utenti per fare marketing proprio? Ne parleremo presto.

Il giudizio del Garante

L’Autorità ha confermato l’illiceità dei trattamenti effettuati dalla società:

  • accesso ai dati senza un’idonea base giuridica;
  • assenza di nomina a responsabile del trattamento per le attività di assistenza e manutenzione;
  • mancata regolamentazione dei rapporti con i cosiddetti broker (agenti di prenotazione).

Sono state riscontrate violazioni agli artt. 5, par. 1, lett. a) ed e) nonché artt. 6 e 9 e 28 GDPR.

Per questo, il Garante ha applicato una sanzione pecuniaria di 40.000 euro, oltre alla pubblicazione del provvedimento sul sito istituzionale.

Un messaggio chiaro: la mancata chiarezza nei ruoli e nelle responsabilità si traduce in responsabilità diretta, economica e reputazionale.

LA NOSTRA CONSULENZA

Compliance Data Protection e GDPR

Offriamo una consulenza con un approccio programmatico, strutturato e integrato fondato sull’analisi e gestione dei rischi, sulla valutazione delle debolezze e su interventi mirati che vanno dall’aggiornamento delle misure di sicurezza alla formazione del personale.

La definizione di un corretto assetto organizzativo, in termini di ruoli e responsabilità, ed efficienti processi di sicurezza permettono di ridurre il rischio di rimanere vittime di incidenti informatici.

Non esiste certo una misura definitivamente risolutiva contro le aggressioni informatiche che minacciano la nostra quotidianità ma è possibile giocare di anticipo attraverso un’analisi più accurata possibile del panorama delle minacce.

L’attenzione alla privacy, alla protezione dei dati ed alla sicurezza informatica non è un costo né opzione ma un investimento strategico.

Proteggere i dati aziendali, l’infrastruttura e la continuità aziendale richiede non solo software e tecnologie avanzate ma competenze specialistiche e strategie efficaci.

Non basta guardare all’aspetto tecnico ma occorre portare un cambiamento culturale per promuovere un approccio alla sicurezza.

Occorre garantire il rispetto della normativa senza che l’adempimento diventi burocrazia per andare a cogliere i pro in termini di efficacia ed efficienza dei processi aziendali.

Questo è quello che fa CompetenceLab.

Entra nella Community

Vuoi restare in contatto con CompetenceLab?
Organizzare un evento insieme a noi? Oppure proporre un tema su cui riflettere? Entra a far parte della nostra Community!





    CompetenceLab nasce per guidare un cambiamento, per affiancare persone e aziende nello sviluppo di un pensiero critico. Scelte sostenibili per migliorare la nostra società.
    Seguici sui social
    Facebook-f Icon-instagram-2 Icon-linkedin Icon-youtube Tiktok
    Link utili
    Contatti
    • Claudia Sorrenti Avvocato
    • P.I.: 11094161004
    • Powered by Xonex.it