Ho saputo che, anche recentemente, alcuni ospedali italiani hanno proceduto alla nomina, quali Responsabili Interni del Trattamento di Dati Personali, tutti i dirigenti delle varie U.O. ospedaliere.
La nomina del responsabile interno è una consuetudine prevalentemente italiana; spesso ciò è stato fatto per rafforzare, nelle organizzazioni, la consapevolezza della tutela dei dati personali, anche se nella direttiva 95/46/CE e nel Codice Privacy D.lgs 196/2003 non si riscontrano distinguo tra responsabile esterno ed interno.
In Europa, invece, la figura del responsabile è stata quasi sempre riferita ad una figura esterna.
Nel nuovo GDPR, il Responsabile del Trattamento è definito come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Articolo 28 GDPR: ... omissis 3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento: a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento,anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; ... omissis b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; c) adotti tutte le misure richieste ai sensi dell’articolo 32 (la sicurezza del trattamento); h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato ... omissis
Appare chiaro che tutto questo dettato si riferisce ad un soggetto esterno; il dirigente della U.O. ospedaliera ha già un contratto di incarico subordinato, non può decidere durata, natura e finalità dei trattamenti, ne decidere in merito alla adozione delle misure di protezione richieste dal GDPR all’articolo 32 (e successivi).
Alla luce di quanto esposto, non appare più praticabile la nomina indiscriminata di responsabili interni, solo perchè ricoprono incarichi dirigenziali; oltretutto:
articolo 82 GDPR: 1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
UPDATE 25/05/2018: il Prof. Pizzetti, oggi al convegno Federprivacy, ha confermato la mia interpretazione; il responsabile del trattamento è essenzialmente un soggetto esterno.