EntiOnLine
Categorie
indietro
29/03/2022 GDPR-DPO ENTIONLINE: puo' essere nominata una persona fisica come responsabile trattamento dati in un appalto di servizi?

Nell'ambito di un appalto di servizi di un Comune Capofila per conto di una " Zona " aggiudicata ad una cooperativa e' stato inserito tra gli obblighi del soggetto aggiudicatario, l'impegno affinche' "se stesso e il proprio personale non diffonda/comunichi/ceda informazioni inerenti gli utenti di cui possano venire in possesso nel corso del servizio". Inoltre e' specificamente previsto che "prima dell'inizio del servizio il gestore, fornisca il nominativo del responsabile della tenuta dei dati personali di cui sopra. In mancanza dell'indicazione di tale nominativo si intendera' responsabile privacy il rappresentante legale del gestore."

Ciò premesso, in conseguenza di questa previsione, i responsabili dei vari Comuni interessati dal servizio hanno nominato una persona fisica indicata dalla Cooperativa (soggetto gestore).

  • E' corretta tale procedura? Quale avrebbe dovuto essere il procedimento corretto?
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

In relazione al quesito formulato, il parere del Servizio GDP-RDPO Entionline è nei termini che seguono.

  • Non è corretto, da parte dei Comuni interessati dal servizio, nominare una persona fisica indicata dalla Cooperativa.
  • E' la Cooperativa, invece, che deve essere designata con un contratto dedicato, Responsabile del trattamento dei dati ai sensi dell'art. 28 del Reg. UE 2016/679.

La cooperativa affidataria del servizio, poiché, come emerge dal quesito, nella gestione del servizio, tratta dati per conto del Comune titolare del trattamento, deve essere nominata Responsabile del Trattamento dei dati ai sensi dell'art. 28 del Regolamento UE 2016/679.

La nomina deve riguardare la cooperativa aggiudicataria del servizio.

Quest'ultima, in forza di quanto disposto dall'art. 29 del Regolamento, deve autorizzare i singoli dipendenti che trattano i dati dell'ente nell'esecuzione del contratto e deve provvedere a redigere un Registro del trattamento dei dati inerente la suddetta commessa.

Ai sensi dell'art. 28 del Reg. UE 2016/679, "Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato".

Il successivo comma 3 dispone, alle lettera b), che il Responsabile del trattamento: b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

Alla luce di quanto sopra esposto, quindi, non è corretto che i Comuni interessati dal servizio nominino una persona fisica indicata dalla Cooperativa (soggetto gestore).

Il Comune, Titolare del trattamento dei dati, deve quindi designare la Cooperativa, con apposito contratto, soggetto Responsabile del trattamento dei dati ai sensi del richiamato art. 28 del Reg. UE 2016/679

La bozza del contratto può essere scaricata direttamente dal sito All-Privacy dopo avere inserito l'anagrafica della cooperativa e l'oggetto del contratto che dovrà essere svolto.

La Cooperativa, poi, provvederà ad emettere atti di autorizzazione per i propri dipendenti impegnati nell'esecuzione del servizio come indicato anche al comma 3 lett. b) dell'art. 2.



Banca dati