GDPR ed Enti locali: la guida dell’ANCI (attenti agli errori)
L’ANCI ha preparato questa guida, destinata ad aiutare gli Enti locali ad implementare il GDPR. Ottima l’intenzione e buona la realizzazione, ma purtroppo contiene un errore pericoloso: la figura di “Responsabile del trattamento” presentata nel testo non è conforme al GDPR: il Responsabile non può essere “interno” e certamente non può equipararsi il “sub-responsabile” all’odierno “incaricato al trattamento”.
Anche il prof Pizzetti lo spiega chiaramente in un post su Linkedin:
Attenzione. Dopo il 25 maggio 2018 si potrà (e dovrà) indicare esistenza di un responsabile dei trattamenti distinto dal titolare ex GDPR solo se esso è esterno alla impresa del titolare, e legato al titolare da contratto o altro atto giuridico vincolante per entrambi che definisca le rispettive responsabilità’. La figura di responsabile interno non è compatibile con art.28 GDPR e non solleva il titolare da alcuna responsabilità né assume alcuna responsabilità se non quella proprie di un dipendente verso il suo datore di lavoro. Dal 25 maggio chiunque induca un titolare a credere di poter dividere le sue responsabilità di Controller con un suo dipendente solo perché gli assegna una responsabilità interne di qualunque tipo rispetto a trattamenti che restano tutti imputati al titolare assume una grave responsabilità professionale.Il Processor/Responsabile ai sensi GDPR deve essere sempre esterno e legato a titolare da contratto o atto giuridico vincolante per entrambi. Continuare, volutamente o no, a fare confusione e’ pericolosissimo e può provocare gravi rischi e possibili sanzioni e danni ai titolari
