2. Il nuovo Regolamento Europeo sulla
Privacy (679/2016), che in buona
parte va a sostituire il vecchio Codice
Privacy (196/2003), si applica anche
agli Agenti di Commercio e a tutti i
Procacciatori d’Affari similarmente
agli altri dipendenti e subordinati
dell’Azienda.
3. L’Agente di commercio (o l’Agenzia,
qualora si tratti di una persona
giuridica) è Titolare del trattamento
dei dati e dovrà essere in regola con
la normativa in materia di privacy (lo
avrebbe dovuto essere anche in
precedenza con la vecchia
normativa) e adeguarsi al
regolamento.
4. Essere Titolari del trattamento dei
dati personali non è una scelta
discrezionale:
il Titolare è la persona fisica o
giuridica […] che, singolarmente o
insieme ad altri, determina le finalità
e i mezzi del trattamento di dati
personali (Articolo 4.7 GDPR)
5. Il responsabile del trattamento è la persona
fisica, giuridica, […] che elabora i dati
personali per conto del titolare del
trattamento (Articolo 4 par. 1 n. 8 GDPR).
Si tratta di un soggetto, distinto dal
titolare, che deve essere in grado di fornire
garanzie al fine di assicurare il pieno
rispetto delle disposizioni in materia di
trattamento dei dati personali, nonché
di garantire la tutela dei diritti
dell'interessato.
6. Vi sono casi in cui la nomina di un
Responsabile del trattamento è
scelta discrezionale del Titolare del
trattamento (di un agente o di un
procacciatore di affari se ne può fare
a meno), altri in cui la nomina di un
Responsabile è praticamente
inevitabile (una azienda, spesso, non
può fare a meno di un ufficio paghe
esterno).
8. L’Agente (o Agenzia) di Commercio o
il Procacciatore d’Affari a Partita IVA
è inquadrato alla stregua di un
“consulente esterno”. Tuttavia, dato
che il Commerciale assai spesso
entra in contato con dati personali di
clienti per conto del Titolare del
trattamento (ossia il mandante), è
da inquadrarsi con l’istituto del
Responsabile Esterno del
Trattamento.
9. Come indica l’ Articolo 4.8 GDPR, il
Responsabile del trattamento è la
persona fisica o giuridica, […] che
tratta dati personali per conto del
titolare del trattamento.
L’ Articolo 28 GDPR disciplina tale
figura.
10. I punti salienti dell’ Articolo 28 stabiliscono che:
• I responsabili del trattamento devono presentare
garanzie sufficienti per mettere in atto misure tecniche e
organizzative adeguate in modo tale che il trattamento
soddisfi i requisiti del GDPR e garantisca la tutela dei
diritti dell'interessato.
• I trattamenti da parte di un responsabile del trattamento
sono disciplinati da un contratto o da altro atto giuridico
vincolante.
• Tale atto stipula la materia disciplinata e la durata del
trattamento, la natura e la finalità del trattamento, il
tipo di dati personali e le categorie di interessati, gli
obblighi e i diritti del titolare del trattamento.
12. Secondo quanto prescritto Articolo 28
GDPR , il Titolare del Trattamento (il
mandante) è obbligato a stipulare
un contratto di Responsabilità Esterna
con il Responsabile.
Per STEGO Italia ciò consiste nell’ Atto
di nomina a responsabile esterno al
trattamento dei dati personali.
13. Sempre l’ Articolo 28 GDPR del
Regolamento stabilisce che il Titolare
del Trattamento (il mandante) debba
accertarsi che il Responsabile
Esterno (l’agente o il procacciatore)
sia in grado di soddisfare i
requisiti prescritti dal Regolamento
stesso.
15. Il responsabile ha obblighi di
trasparenza. Il responsabile riceverà
tutte le istruzioni in merito ai
trattamenti operati per conto del
titolare, alle quali dovrà attenersi;
inoltre dovrà mettere a disposizione del
titolare tutte le informazioni necessarie
per dimostrare il rispetto degli obblighi
che gli impone l’ Articolo 28 GDPR , e
dovrà tenere il registro dei trattamenti
svolti (ex Articolo 30 paragrafo 2 GDPR).
16. Il responsabile ha l'obbligo di garantire
la sicurezza e la riservatezza dei dati,
vincolando i dipendenti, dovrà
informare il titolare delle violazioni
avvenute, e dovrà occuparsi della
cancellazione dei dati alla fine del
trattamento.
17. Il Responsabile ha l'obbligo di avvisare,
assistere e consigliare il titolare. Dovrà,
quindi, consentire e contribuire alle attività
di revisione, comprese le ispezioni, dovrà
avvisare il titolare se ritiene che
un'istruzione ricevuta viola il GDPR, dovrà
assistere il titolare per l'evasione delle
richieste degli interessati, dovrà avvisare il
titolare in caso di DATA BREACH, e
assisterlo nella valutazione di impatto
(DPIA).
19. Nel caso di trattamento in violazione delle
norme del GDPR, il responsabile risponde,
congiuntamente al titolare, per il danno
cagionato all'interessato, secondo quanto
previsto dall' Articolo 82 GDPR
«Chiunque subisca un danno materiale o immateriale
causato da una violazione del presente regolamento ha il
diritto di ottenere il risarcimento del danno dal titolare del
trattamento o dal responsabile del trattamento.»
20. Esemplificando il responsabile potrebbe rispondere se:
• travalica o agisce in contrasto con le istruzioni del titolare
• non assiste il titolare (ad esempio per le violazioni dei dati o la
valutazione di impatto)
• non pone a disposizione del titolare le informazioni necessarie
per un audit
• designa un sub-responsabile non essendo stato previamente
autorizzato
• designa un sub-responsabile che non offre garanzie
sufficienti
• non tiene il registro dei trattamenti