04 Gen Su Queste Istituzioni: I ruoli privacy e le responsabilità del titolare e del responsabile del trattamento nell’ambito del rapporto tra PA e società in-house
Per la fornitura e lo svolgimento di alcuni servizi pubblici, tra cui anche quelli relativi al settore IT, le PA si servono sempre più frequentemente dell’in-house providing, ossia l’affidamento diretto a società strumento su cui esercitano un controllo diretto.
Nel caso in cui la realizzazione di tali servizi comporti un trattamento di dati personali, si pone il tema della corretta individuazione dei ruoli privacy in uno schema in cui la PA riveste generalmente il ruolo di “titolare del trattamento” determinando le finalità e le modalità del trattamento, mentre la società strumento quello di “responsabile del trattamento” che, nell’ambito dell’in-house providing, effettua le attività tecniche necessarie alla gestione dei dati per conto della PA. Da qui la necessità di ben definire i due ruoli per individuare, nell’ambito dell’in-house providing, i diversi e possibili profili e gradi di responsabilità che possono essere addebitati al titolare e al responsabile del trattamento, in particolare con riferimento all’obbligo di adozione di misure di sicurezza, organizzative e tecniche, adeguate al rischio connesso al trattamento di cui all’art. 32 del Regolamento UE n. 679/2016 per la protezione dei dati personali (GDPR).
Sul tema un’interessante articolo a firma dei nostri Luca Tufarelli, Maria Lilia La Porta e Gaia Leoncini pubblicato sulla rivista n.4/2023 di “queste istituzioni“.
Per leggere l’approfondimento integrale: clicca qui.
