Il responsabile del trattamento nella LPD

La legge svizzera sulla protezione dei dati LPD, così come il GDPR, ammette l’esternalizzazione dei trattamenti di dati personali a organizzazioni terze che agiscono per conto del titolare del trattamento: queste organizzazioni sono denominate “responsabili del trattamento” e agiscono su specifico mandato scritto e dietro istruzioni del titolare. Il responsabile può essere sia un privato che un organo federale.

Il titolare del trattamento deve garantire attivamente il rispetto degli obblighi di legge selezionando accuratamente il responsabile del trattamento, specie per la sua capacità di garantire la sicurezza dei dati, impartendo istruzioni chiare ed effettuando un adeguato monitoraggio. L’esternalizzazione non esonera il titolare del trattamento dai propri obblighi in materia di protezione dei dati.

Se i dati vengono resi accessibili a un responsabile del trattamento situato all’estero (per il GDPR, al di fuori della UE/SEE) occorrerà rispettare anche le disposizioni relative ai trasferimenti di dati in Paesi terzi.

Il responsabile del trattamento agisce nell’ambito del perimetro di liceità del titolare – non avendo bisogno di ulteriori motivazioni o basi giuridiche – in quanto egli non è più considerato terzo rispetto al titolare; di conseguenza, le operazioni sui dati personali compiute dal responsabile ricadono nell’ambito di responsabilità del titolare del trattamento. Il responsabile del trattamento, se autorizzato preventivamente dal titolare in via generale o in via speciale, può a sua volta subappaltare le operazioni di trattamento a un terzo.

La filiera delle terze parti

Quali sono gli obblighi del responsabile del trattamento?

La nuova LPD prevede specifici obblighi per il responsabile del trattamento.

Il principale obbligo del responsabile è quello di garantire la sicurezza dei dati personali che utilizza per conto del titolare; al riguardo, il responsabile dovrà rispettare le medesime prescrizioni imposte al titolare del trattamento.

Anche il responsabile è tenuto a realizzare e mantenere il registro delle attività di trattamento che contiene minori informazioni rispetto a quelle previste per il titolare. Gli organi federali devono notificare all’IFPDT anche i registri tenuti come responsabili del trattamento.

Gli obblighi di verbalizzazione e di redazione del regolamento, in presenza di trattamenti a rischio elevato, spettano anche al responsabile del trattamento.

Il responsabile comunica tempestivamente al titolare eventuali violazioni di dati personali (data breach).

Il responsabile collabora con il titolare per agevolare il riscontro all’esercizio del diritto di accesso[6].

In caso di autorizzazione generale al subappalto delle attività demandate al responsabile, quest’ultimo deve informare il titolare di qualsiasi modifica o sostituzione di sub-responsabili, in tempo debito per consentire al titolare di opporvisi.

In ipotesi di trasferimento estero di dati personali operato dal responsabile tramite contratto, questi deve adottare adeguate misure per garantire che il destinatario rispetti le clausole e le garanzie previste.

Sanzioni

La violazione delle prescrizioni sull’affidamento dei trattamenti a un responsabile del trattamento è soggetta alla multa sino a 250.000 franchi.

Condividi

Post Recenti

Marketing e LPD: guida operativa – Parte 1

La transparence pour qui ?

Il diritto di accesso nella LPD