Nomine per i responsabili esterni e DPA
L’art. 28 del GDPR dispone che qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorra unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato.
Insomma, è innanzitutto obbligatorio esternalizzare trattamenti di dati esclusivamente verso soggetti conformi al GDPR.
Ma tutto ciò non basta. Il titolare deve obbligatoriamente autorizzare il responsabile con un’apposita “autorizzazione scritta, specifica o generale” che normalmente si traduce in uno dei seguenti documenti:
– nomina per responsabili esterni ex art.28 del GDPR
– Accordo sul trattamento dei dati personali o Data Processing Agreement (“DPA”)
I contenuti dell'Accordo
Una nomina o un accordo ex art.28 del GDPR, tra le varie cose, devono obbligatoriamente contenere:
– autorizzazione generale o specifica alla nomina di sub-responsabili
– indicazione relativa alla materia disciplinata, alla durata, natura e finalità del trattamento, al tipo di dati personali trattati e alle categorie di interessati coinvolti dal trattamento
– riferimento agli obblighi e ai diritti del titolare del trattamento
– richiamo all’obbligo di riservatezza per le persone autorizzate
– indicazione relative alle misure di sicurezza che il responsabile deve adottare
– procedura per dar seguito alle richieste di esercizio dei diritti da parte degli interessati
– destinazione dei dati alla fine del contratto
– definizione dei diritti di audit del titolare
– l’obbligo di imporre a ogni sub-responsabile a cui viene sub-appaltato il trattamento gli stessi obblighi previsti dalla nomina o dall’accordo originale
