Il responsabile esterno ai sensi dell’art 28 GDPR deve essere nominato per iscritto con un atto di nomina o deve essere nominato nel contratto, cioè con un atto che vincola il responsabile del trattamento al titolare. Titolare e Responsabile devono quindi definire le modalità con le quali il Responsabile del trattamento si impegna ad effettuare per conto del Titolare le operazioni di trattamento dei dati personali indicate in premessa. Nel quadro delle loro relazioni contrattuali, infatti, gli Stipulanti si impegnano reciprocamente a rispettare la regolamentazione in vigore applicabile al trattamento dei dati personali e, in particolare il GDPR.
Solitamente, con la sottoscrizione della nomina ex art 28 GDPR, il Titolare nomina il libero professionista o la società che svolge il servizio esterno come Responsabile Esterno del trattamento, con riferimento ai trattamenti di dati personali effettuati rispetto agli accordi che sono a monte della nomina. Il Responsabile dovrà infatti garantire standard adeguati di protezione e tutela dei diritti degli interessati nel rispetto della disciplina prevista dal Codice Privacy e dal GDPR.
Nello specifico, il Responsabile designato si impegna a gestire i dati personali conferiti dal Titolare nel rispetto della normativa europea e delle finalità del trattamento stabilite dal Titolare, obbligandosi per es. a non cederli, né a titolo oneroso né gratuito, a terzi non autorizzati oppure a non trattarli per finalità diverse da quelle stabilite dal Titolare.
Ancora, il Responsabile deve garantire la riservatezza dei Dati trattati nell’ambito dell’incarico assunto come responsabile e deve autorizzare ed istruire debitamente i soggetti che trattano i dati conferiti dal Titolare sotto la sua autorità, ossia i cd: Autorizzati al trattamento ex art 29 GDPR impartendo a questi ogni istruzione necessaria per realizzare un corretto trattamento dei dati personali affidati appunto dal Titolare.
Il Responsabile del trattamento deve controllare infatti che i propri dipendenti e collaboratori si impegnino a rispettare la riservatezza o siano sottoposti ad un obbligo legale appropriato di segretezza e ricevano la formazione necessaria in materia di protezione dei dati trattati.
Il Responsabile, ancora deve a mettere in opera tutta una serie di misure di sicurezza, tecniche ed organizzative che garantiscono un livello di sicurezza adattato al rischio.
Fra queste misure si possono annoverare: la pseudonimizzazione, la cifratura dei Dati Personali, la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.
Infine, è compito del Responsabile instaurare una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Deve ancora a mettere in opera le misure di sicurezza, tecniche ed organizzative idonee a garantire un adeguato livello di protezione e sicurezza dei dati conferiti tenuto conto del fatto che questi, nonostante risultino di per sé idonei a rivelare lo stato di salute, possono anche acquisire tale idoneità se incrociati e/o associati ad altre informazioni.
Altro aspetto fondamentale è che qualora il Responsabile ravvisi una o diverse violazioni degli obblighi stabiliti dalla legge, dalle altre fonti vincolanti che regolano la materia e discendenti dal presente contratto si obbliga a darne tempestiva notizia al Titolare entro 24 ore dalla rilevata violazione fornendo una compiuta descrizione tecnica della stessa ed allegando anche un documento di valutazione del rischio che la violazione può comportare in capo agli interessati.
In tal senso, il Responsabile si obbliga, inoltre, a informare immediatamente il Titolare qualora, a suo parere, un’istruzione o un comportamento violino le norme del Regolamento UE 679/2016 o altre norme relative alla protezione dei dati personali nonché a segnalare tempestivamente ogni eventuale irregolarità, o illiceità del trattamento imputabili al Titolare del trattamento e comunicare immediatamente al Titolare, e comunque non oltre le 24 ore successive al loro ricevimento, ogni richiesta, ordine o attività di controllo da parte dell’Autorità garante per la protezione dei dati personali o dell’Autorità Giudiziaria.
Infine, il Responsabile deve conservare i dati personali, trattati per conto del Titolare, fino alla cessazione degli effetti del contratto per l’erogazione dei servizi a cui la presente nomina è allegata, provvedendo, alla scadenza, alla loro cancellazione o, a richiesta, alla consegna al Titolare o ad altro soggetto da questo designato, ove non diversamente imposto per disposizione di Legge o per atto dell’Autorità giudiziaria.