5 motivi per non chiamarlo responsabile interno

Pubblicato il 16 Gennaio 2020

Tempo di lettura stimato: 2 minuti e 57 secondi.

Il Regolamento (UE) 2016/679 sembra aver generato un po’ di confusione relativamente ad alcune figure soggettive introdotte, sostituite ed eliminate. In particolare, spesso ci confrontiamo con clienti, consulenti o DPO che ci chiedono dove trovare la gestione dei Responsabili interni in DPM.

Nelle interfacce di DPM non viene mai usata l’espressione “Responsabili interni”. Gli unici responsabili sono i Responsabili del trattamento e i Responsabili della protezione dei dati (RPD/DPO).

Ma esattamente di chi stiamo parlando?

La figura che analizzeremo nel presente articolo è quella che va sotto il nome di designato, responsabile interno, referente o delegato; generalmente intesa come quel soggetto/i, solitamente posto in una posizione gerarchica apicale o intermedia (es. dirigenti o quadri), che nelle grosse organizzazioni supportano il Titolare nella gestione degli adempimenti relativi alla protezione dei dati. E all’ora perché non chiamarlo Responsabile Interno? 

1. I compiti del responsabile

È piuttosto chiara l’incompatibilità del responsabile del trattamento definito dal regolamento all’articolo 28 con la vecchia figura del responsabile interno. Infatti, l’imposizione a quest’ultimo di obblighi particolarmente gravosi risultano essere palesemente in contrasto con quanto è possibile richiedere ad una figura interna alla realtà aziendale. Si pensi, fra gli altri, all’obbligo di riservatezza dei dipendenti e collaboratori, di assistenza al Titolare, di cancellazione o di restituzione dei dati al termine del rapporto intercorrente con il Titolare del trattamento. Senza considerare poi la responsabilità solidale in capo al Responsabile così come oggi individuato, che sarebbe inconcepibile nel rapporto tra datore di lavoro e lavoratore.

2. Supportare non significa sollevare

Sarebbe contro lo spirito del regolamento ed il principio di responsabilizzazione del Titolare individuare dei soggetti interni scaricare delle responsabilità.

3. Esiste il designato

L’art. 2 quaterdecies del d. lgs. 101/2018 ha introdotto la figura del soggetto designato laddove statuisce che “il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”.

4. Troppi responsabili

C'è il Responsabile del trattamento ex art.28 e il Responsabile della Protezione dei dati, non servono ulteriori responsabili quando in fin dei conti il vero soggetto responsabile è il Titolare.

5. Lo dice anche il Garante

L’ Autorità nazionale (il Garante per la protezione dei dati personali), in occasione dell’incontro con i Responsabili della Protezione dei Dati tenutosi a Bologna il 24 maggio 2018, confermava la definitiva uscita del Responsabile interno dallo scenario della protezione dei dati personali, laddove affermava:



“Il responsabile interno del trattamento è destinato ad essere superato […] quindi il responsabile è solo il responsabile esterno”  Min. 7.53:30

Quindi?

DPM è uno strumento (tool) o meglio una cassetta degli attrezzi (toolbox) per i professionisti della Protezione dei dati.

I soggetti interni con funzioni di coordinamento e supporto al Titolare in materia di protezione dei dati possono essere individuati all’interno dell’organigramma ed è possibile assegnargli dei permessi specifici per collaborare alla redazione del registro di una DPIA o altro.

L’ etichetta che li contraddistingue è “Designati”.

Si precisa tuttavia che tutti i documenti generabili da DPM sono personalizzabili al 100%, quindi se ne nella formalizzazione del rapporto o nel registro li si vuole indicare come Responsabili interni, per noi non c'è nessun problema.

Credits: Photo by Birmingham Museums Trust

Tags: DPM, Responsabile, Designato