Risposta:

DOMANDA COMPLETA: Questa è una email di contatto dal sito https://www.gdprchiaro.it/ inviata da:
Mario M. Buongiorno, spero di essere nello spazio giusto. Nella data dell'entrata in vigore definitiva del decreto attuativo, nel seguire i vari soggetti che vogliono mettersi a norma sorgono queste situazioni:
Clienti a norma ma Consulente del Lavoro NO
Avvocato a norma ma diversi clienti NO
Azienda a norma ma altre aziende per cui si lavora NO.
Esiste un principio almeno di ammonimento se non di obbligo per cui chi è a norma deve chiudere i rapporti con chi non è a norma?
Esiste (mi pare di averne sentito parlare in qualche sede) un principio do corresponsabilità nell'adempimento del GDPR?
Bisogna (per principio e interesse personale) ricorrere ad una denuncia anche anonima verso chi non si adegua, o c'è del materiale su cui far ragionare?
So che può sembrare una questione banale, ma è diventata determinante in questo periodo in molte realtà, dove giustamente si dice: "Ma se loro non sono a norma, perché devo farlo io?"

 

RISPOSTA:

Mi inserisco dopo aver apprezzato gli spunti degli altri partecipanti alla discussione per sintetizzare quella che è la mia impostazione (provo a generalizzare senza essere generico):

TITOLARE: deve essere "a norma" (uso questa espressione per indicare la "compliance" o in altri termini il rispetto delle disposizioni GDPR e nazionali). Eventuali inosservanze avranno conseguenze potenziali in termini di ammonimento, sanzione (amministrativa e penale) e potenzialmente di illiceità del trattamento (con divieto di utilizzo).

TITOLARE (non a norma) + RESPONSABILE (a norma): il responsabile non può svincolarsi dal proprio rapporto contrattuale (salvo che non sia previsto nel contratto o vi siano gravi violazioni, ad esempio penali). Il Responsabile NON è tenuto a vigilare che il titolare sia conforme. Ha un generico dovere di informazione (se si accorge che il titolare sbaglia lo deve avvisare) mentre ha uno SPECIFICO DOVERE qualora gli errori del titolare si riflettano sulla sua attività. (es. se il titolare ha nominato un DPO imbranato il responsabile non può fare obiezioni). Se il titolare passa al responsabile dati in chiaro per email non protetta il responsabile deve fare "rimostranza"

TITOLARE (a norma) + RESPONSABILE (non a norma): Il titolare ha il dovere (art. 28 GDPR) di avvalersi di responsabili che diano SUFFICIENTI (attenzione, non ottime, eccellenti, mega-galattiche) GARANZIE. Quindi è nella responsabilità (accountability) del titolare valutare oltre quale limite il responsabile perda le garanzie ed in quel caso dovrà procedere conseguentemente (risoluzione contrattuale - la giusta causa sta proprio nel gdpr)

TITOLARE (a norma) + RESPONSABILE (a norma) + - RESPONSABILE (non a norma): Nel caso in cu un titolare abbia più responsabili (caso più frequente) e uno dei due non è a norma l'altro può recedere dal contratto se hanno attività condivise.

TITOLARE (a norma) + INTERESSATO (non a norma): è il caso descritto nel quesito dell'avvocato con i clienti non a norma. Il problema NON SI PONE in quanto il titolare non può giudicare il modo in cui l'interessato ha trattato il dato. Facciamo un esempio banale. Se il cliente dell'avvocato viola il GDPR perchè è un hacker non è che non lo difende per questi motivi. Avvocato gestisce i dati regolarmente nel suo ruolo di titolare. ATTENZIONE: questo vale solo se il cliente funge da interessato e non se è un titolare rispetto all'avvocato responsabile del trattamento (per il quale valgono i casi di cui sopra).

Ci sarebbero tante altre variabili inserendo i designati e distinguendo i vari DPO non a norma, esercenti funzioni non a norma, titolare a norma e contitolare no ecc... ma la questione diviene troppo articolata.

****************

Vedi anche: https://www.gdprchiaro.it/indice-faq/dpo-rpd-quando-deve-nominarlo-anche-il-responsabile-dei-trattamenti.html

 

Il gruppo di lavoro europeo ha approfondito ruolo e funzioni del DPO. Si veda:

Data protection officers Guidelines on Data Protection Officers ('DPO'), WP243 rev.01

Per approfondimenti:

GDPR e organizzazione (nomina DPO) - 29 aprile 2018
https://youtu.be/JMWHxJgfkUY

GDPR  e privacy - Decalogo degli adempimenti (14 maggio 2018) 
https://youtu.be/naAUMoU-4bg

RPD Comunicazione dei dati di contatto Revoca (modello Garante) (aggiornamento al 3 agosto 2018)
http://www.omniavis.it/web/forum/index.php?topic=46146.0

-----------------------------------------------
Riferimenti normativi:

Regolamento UE 2016/679 (LINK)

Codice della privacy (LINK) e Decreto 101/2018 (LINK)

Per ulteriore materiale visita il Gruppo GDPR in Italia (LINK) e la sezione di approfondimento OV (LINK)

-----------------------------------------------
Contributo a cura di: simone.chiarelli@gmail.com