Fornitore responsabile e sub-responsabile

Chi è il Responsabile del trattamento?

Il responsabile del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Il responsabile a cui sono affidati i dati può ricorrere a sub-responsabili (contrattualmente sub-fornitori) ma solo attraverso la stipula di un contratto di nomina a sub-responsabile che contenga le istruzioni che a sua volta il responsabile ha avuto dal titolare.

ESEMPIO PRATICO
Lo STUDIO VERDI (Consulente del lavoro) riceve i dati dall'azienda ROSSI SRL per l'elaborazione dei cedolini paga dei dipendenti di quest'ultima.
In questo caso:

  • STUDIO VERDI è definito responsabile per il trattamento, in quanto, per prestare il servizio di elaborazione cedolini paga, deve trattare dati personali per conto di ROSSI SRL ovvero deve trattare informazioni relative ai suoi dipendenti;
  • STUDIO VERDI dovrà farsi nominare Responsabile del trattamento.
Chi è il Sub-Responsabile?

Nell'ipotesi in cui il responsabile del trattamento, al fine di erogare i propri servizi verso i propri clienti, si avvalga di un soggetto terzo (sub-fornitore) che tratta dati personali per conto dei clienti, questo soggetto terzo è definito sub-responsabile del trattamento.

ESEMPIO PRATICO
Lo STUDIO VERDI (Consulente del lavoro) riceve i dati dall'azienda ROSSI SRL per l'elaborazione dei cedolini paga dei dipendenti di quest'ultima. Lo STUDIO VERDI, per erogare i servizi a ROSSI SRL, si avvale di STUDIO BIANCHI (piccolo studio di consulenza del lavoro) al quale, pertanto, trasmette dati personali del proprio Cliente.
In questo caso:

  • STUDIO VERDI è definito responsabile per il trattamento, in quanto, per prestare il servizio di elaborazione cedolini paga, deve trattare dati personali per conto di ROSSI SRL ovvero deve trattare informazioni relative ai suoi dipendenti;
  • STUDIO BIANCHI è definito sub-responsabile per il trattamento in quanto, per prestare i propri servizi a STUDIO VERDI necessita di trattare dati personali di cui è titolare ROSSI SRL;
  • STUDIO VERDI dovrà nominare Sub-responsabile del trattamento il Sub-fornitore STUDIO BIANCHI.

Come opero in GDPR Zucchetti?

All'interno dell'applicativo occorre eseguire una distinzione tra associazione manuale e associazione massiva, in quanto la procedura assume dei comportamenti differenti a seconda della scelta effettuata.

Associazione manuale
Dettaglio

  1. La prima cosa da fare sarà l’indicazione del soggetto (si tratta sempre di un'azienda o di un'impresa individuale), ricercandolo nella tabella collegata, con il pulsante , posto a fianco del campo “ragione sociale fornitore”. Se il soggetto ricercato è presente tra quelli disponibili in tabella, sarà sufficiente selezionarlo con , diversamente dovrà essere caricato ex novo con la funzione ;
  2. inserire le date di validità a livello anagrafico.

Info aggiuntive
All'interno di questa sezione sarà possibile:

  1. specificare delle note;
  2. attivare l’opzione “amministratore di sistema” e, nel caso, “tratta dati dei dipendenti” considerando che per il primo si intende “figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali” e che il secondo è una specifica da attribuire a un amministratore di sistema, nel caso in cui i sistemi di cui è responsabile, trattino dati di dipendenti dell’organizzazione;
  3. associare uno o più servizi, ricercando all'interno dell'apposita tabella anagrafica.

Possono essere abbinate tutte le voci di servizio per cui stiamo delegando il trattamento dati al fornitore.

Validità
In questo tab, di compilazione facoltativa, è possibile indicare l'intervallo di tempo in cui il record in questione è da ritenersi operativo.

Una puntualizzazione meritano le date di validità: sono presenti sia sul soggetto che sul singolo servizio. La validità del servizio è subordinata alla validità del soggetto: se il soggetto non è più “attivo”, non lo saranno nemmeno tutti i servizi ad esso abbinati. Se il soggetto è attivo, è possibile agire a livello di singolo servizio.