Il nuovo regolamento UE 2016 /679 in materia di dati personali e privacy, chiamato anche GDPR, è entrato in vigore il 25 maggio 2016 ed è stato reso definitivamente efficace il 25 maggio 2018. La nuova normativa introduce un aspetto importante sulla protezione dei dati personali (art. 35): la valutazione d’impatto sul trattamento laddove venissero violate le misure di protezione dei dati personali.
Questo comporta un adempimento non solo formale ma concreto sulla protezione dei dati (DPIA – Data Protection Impact Assessment). Nello specifico il nuovo GDPR indica che le imprese che trattano dati personali per conto di un titolare, debbano essere nominate da quest’ultimo “responsabili esterni del trattamento” . A tali imprese il Titolare del trattamento, a cui appartengono i dati personali, deve fornire le istruzioni su come vuole che vengano trattati i dati forniti per l’erogazione del servizio.
In altri termini: un “Titolare” – che è il cliente per il quale l’impresa di pulizie effettua i servizi – dovrebbe nominare “Responsabile” l’ impresa di pulizia stessa, in quanto svolgendo le attività di cui è incaricata, potrebbe venire a conoscenza di dati relativi alle persone fisiche che operano presso il “Titolare” o più in generale i dati delle persone fisiche trattate dal titolare (dipendenti, collaboratori, clienti, utenti ecc.) In base a questo scenario quindi, l’ imprese di pulizia incaricata potrebbe ricevere una nomina di responsabile esterno dei trattamenti dei dati.
In questo articolo cercheremo di fare maggiore chiarezza sul nuovo GDPR e approfondiremo la tematica della nomina del “responsabile esterno del trattamento” con particolare riguardo alla specificità delle imprese del settore delle delle pulizie.
Come avviene la nomina
Uno dei primi aspetti da considerare è l’accettazione o meno della nomina, sopra descritta, dall’impresa di pulizie. Come dicevamo, la nomina aspetta al Titolare del trattamento: se quest’ultimo non predispone nessuna nomina è sì in errore, ma questo non esime comunque il Responsabile esterno a trattare i dati nel rispetto di quanto previsto dal GDPR.
L’accettazione da parte dell’impresa di pulizia della nomina e del ruolo di Responsabile esterno del trattamento è quindi, nella maggior parte dei casi, un atto dovuto. La nomina integra di fatto il contratto di servizio di pulizie in essere.
Prima di sottoscrivere la nomina, sarebbe comunque necessario avere chiari alcuni aspetti:
- La nomina deve essere predisposta a fronte del Regolamento Europeo e deve circostanziare la tipologia di dati trattati. Non deve quindi avere carattere generico e dovranno essere indicati gli specifici trattamenti a capo del Responsabile.
- La nomina deve riportare o fare riferimento a istruzioni che il Titolare del trattamento deve fornire al Responsabile esterno. In mancanza di dettagli di tale istruzioni, il Responsabile Esterno del trattamento (quindi in questo caso l’impresa di pulizie) può valutare l’effettiva portata di quanto richiesto.
- Le istruzioni fornite dal Titolare del trattamento al/ai responsabili esterni del trattamento, che sono parte integrante della nomina, devono essere verificate per valutarne la loro fattibilità ed eventualmente devono essere oggetto di discussione trattativa prima di procedere alla sostituzione della nomina.
Le istruzioni
Le istruzioni sono uno dei punti cardine della nomina. Vediamo quali possono essere i diversi aspetti da tenere in considerazione:
- I nomi dei soggetti che sono autorizzati dal responsabile esterno del trattamento a trattare i dati per conto del titolare.
- Cosa deve accadere ai dati eventualmente trattati dal responsabile esterno in caso interruzione o in caso di chiusura dell’ appalto di servizio.
- Cosa deve essere fatto dal responsabile esterno nel caso di una perdita involontaria di tali dati
- Se il Titolare del trattamento si riserva o meno di effettuare una verifica presso gli uffici dei responsabili esterni del trattamento in questo caso a quali dati intende accedere: ovviamente potrai accedere esclusivamente i dati che riguardano rapporto di cui titolare.
Le istruzioni devono contenere indicazioni specifiche di taglio operativo in modo tale che il Responsabile del trattamento le possa facilmente verificare e valutare nella loro complessità.
Nel caso in cui non fosse possibile il rispetto di queste, il Responsabile esterno del trattamento deve negoziare con il Titolare fino a trovare un accordo che permetta di poter conciliare le diverse esigenze, in modo da accertare la tutela dei propri dati personali a uno, e il rispetto di quanto richiesto dal Titolare all’altro. Qualora non ci fossero le condizioni per accettare tale nomina, il Responsabile esterno dovrebbe cercare di definire assieme al Titolare delle misure alternative.
Una volta che questo concetto risulta chiaro, bisogna ricordare che anche l’impresa di pulizie nel ruolo di Titolare del trattamento, dovrà nominare dei Responsabili esterni. Nel caso di un subappalto ad esempio, l’impresa subappaltatrice dovrà essere a sua volta nominata Responsabile esterno del trattamento da parte dell’impresa di pulizia Titolare dell’appalto: infatti, sia il codice della Privacy, sia la normativa sugli appalti prevedono che ogni coinvolgimento in un appalto sia reso trasparente al cliente Titolare dei dati.
Sanzioni
Le sanzioni connesse al nuovo GDPR sono particolarmente onerose e possono raggiungere diversi milioni di euro. Nonostante sia difficile che sanzioni così alte possono colpire imprese nel settore della pulizia, per la tipologia e la quantità di dati trattati, è invece possibile che multinazionali e imprese di medie o grandi dimensioni, clienti dell’impresa, possano incorrere in sanzioni molto significative in caso di inadempimenti. La nomina, del responsabile esterno del trattamento, da parte di queste grandi imprese è una delle misure che devono adottare per dimostrare l’applicazione al GDPR, anche al fine di ridurre le eventuali sanzioni a loro destinate.
Fonti: Sanificambienti