Avv. Antonino Ingoglia - Diritto IT e Privacy
GDPR

Responsabile del Trattamento

Il soggetto che tratta dati personali per conto del titolare, seguendo le sue istruzioni.

Definizione

Il responsabile del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Agisce esclusivamente su istruzione documentata del titolare, salvo obblighi di legge contrari. Il rapporto tra titolare e responsabile deve essere regolato da un contratto o altro atto giuridico (DPA, Data Processing Agreement).

Riferimenti normativi

GDPR, art. 4 n. 8

«La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.»

GDPR, art. 28

«Se un trattamento deve essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate.»

Implicazioni pratiche

Esempi tipici di responsabili

Fornitori di software in cloud (SaaS), società di elaborazione paghe, call center in outsourcing, agenzie di marketing digitale che gestiscono mailing list del cliente.

Contenuto minimo del DPA

Il contratto ex art. 28 GDPR deve indicare oggetto, durata, natura e finalità del trattamento, tipo di dati, categorie di interessati, obblighi e diritti del titolare.

Sub-responsabili

Il responsabile può sub-appaltare il trattamento solo con autorizzazione scritta del titolare. Resta responsabile nei confronti del titolare per l'operato del sub-responsabile.

Domande frequenti

Un fornitore SaaS è sempre un responsabile del trattamento?

In linea generale sì, se il fornitore tratta dati personali dei clienti del suo cliente per erogare il servizio. È necessario verificare caso per caso e stipulare il DPA.

Cosa rischia chi tratta dati senza DPA?

Il titolare che non ha formalizzato il rapporto con il responsabile viola l'art. 28 GDPR e può incorrere in sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato mondiale annuo.

Voci correlate

Contratto SaaSTitolare del TrattamentoTrattamento dei Dati Personali
Nota informativa: I contenuti di questa voce hanno finalità divulgative e non costituiscono parere legale né instaurano un rapporto professionale. Il significato dei termini giuridici può variare in relazione al contesto specifico.
Torna al glossario

Hai una questione specifica sul Responsabile del Trattamento?

Prenota una consulenza online per un'analisi concreta della tua situazione.