Responsabili del trattamento che operano senza la necessaria nomina

In seguito a un mancato riscontro a fronte di una richiesta di esercizio del diritto di accesso, l’Autorità Garante ha svolto un procedimento istruttorio nei confronti della società titolare e della società responsabile del trattamento. In base agli elementi acquisiti nel corso dell’istruttoria, la società responsabile operava sulla base di un contratto per la fornitura di un servizio stipulato con la società titolare. Oltre a ciò, è da sottolineare che lo specifico ruolo di “responsabile” era specificato anche all’interno del documento “Termini e Condizioni” del contratto. Malgrado la presenza di tali elementi, il Garante ha riconosciuto che la società responsabile ha effettuato attività di trattamento senza aver adeguatamente definito il rapporto con il cliente/titolare del trattamento e in assenza di specifiche istruzioni predisposte da quest’ultimo. In pratica, ha operato senza aver determinato quanto richiesto nell’art. 28 del RGPD. In sintesi, un titolare può affidare un trattamento a soggetti esterni solo disciplinandone il rapporto con un contratto o un altro atto giuridico e impartendo le istruzioni in merito alle caratteristiche principali del trattamento, quali, la “natura e la finalità del trattamento”, la “durata del trattamento”, “gli obblighi e i diritti del titolare del trattamento”, le...