Risposta
Può essere qualcun altro (una persona fisica o giuridica o qualsiasi altro organismo) a trattare i dati personali per te, a condizione che esista un contratto o altro atto giuridico. È importante che il responsabile del trattamento da te nominato fornisca garanzie sufficienti nell’attuare misure tecniche e organizzative adeguate per assicurare che il trattamento rispetti gli standard del regolamento generale sulla protezione dei dati e che i diritti delle persone siano tutelati.
Il responsabile designato non può successivamente nominare un altro responsabile senza la tua autorizzazione scritta, specifica o generale. Il contratto o l’atto giuridico tra la tua azienda/organizzazione e il responsabile deve includere i seguenti elementi:
- il trattamento può avvenire solo su istruzioni documentate da parte del titolare del trattamento;
- il responsabile del trattamento assicura che le persone autorizzate al trattamento dei dati personali si siano impegnate a rispettare la riservatezza o siano soggette a un adeguato obbligo legale di riservatezza;
- il responsabile del trattamento deve offrire un livello di sicurezza minimo definito dal titolare del trattamento;
- il responsabile del trattamento deve aiutarti a garantire la conformità con il GDPR.
Esempi
Un’impresa edile utilizza un subappaltatore per determinati lavori e gli fornisce i dati di contatto dei clienti per i quali bisogna eseguire tali lavori. Il subappaltatore utilizza i dati anche per inviare materiale marketing ai clienti. Il subappaltatore in questo caso non può essere considerato un semplice «responsabile del trattamento» ai sensi del GDPR, in quanto il subappaltatore non tratta i dati personali solo per conto dell’impresa edile, ma anche per le proprie finalità. Il subappaltatore funge pertanto da «titolare del trattamento».
Sei una società di vendita al dettaglio che decide di archiviare una versione di back-up del proprio database clienti su un server basato su cloud. A tal fine stipuli un contratto con un fornitore di servizi cloud noto per i suoi standard di protezione dei dati e che dispone di un sistema certificato di crittografia dei dati. Il fornitore di servizi cloud è il responsabile del trattamento in quanto, conservando i dati personali dei tuoi clienti nei suoi server, tratterà i dati personali per tuo conto.
Riferimenti
Examples
A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’.
You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf.