Il “titolare del trattamento” è sempre colui che decide finalità e mezzi del trattamento, pertanto, di norma, è il cliente finale (privato o azienda) che deve attivarsi per disciplinare correttamente la gestione dei dati personali attraverso gli impianti e i dispositivi che sceglie di installare. Particolarmente delicata, in tal senso, è la gestione dei dati dei dipendenti, che deve rispettare anche le norme poste a tutela della dignità del lavoratore dall’art. 4 della L. 300/1970.
L’installatore che configura l’impianto o gestisce la manutenzione opera solitamente come responsabile del trattamento, ai sensi dell’art. 28 del GDPR, purché agisca secondo istruzioni documentate del titolare. In sostanza, deve esserci un contratto che spiega i ruoli delle parti e gli obblighi che assume l’installatore nei confronti del titolare/cliente rispetto al trattamento dei dati personali.
È buona pratica formalizzare tale rapporto integrando il contratto di servizio principale o stipulando un accordo a parte, dove siano chiariti limiti, tempi di conservazione, misure di sicurezza e obblighi di riservatezza. Se il cliente è un soggetto NIS2, subentra anche la specifica disciplina di settore, per cui gli adempimenti per i fornitori saranno sempre più stringenti e documentati.
È opportuno evidenziare che il Garante per la Privacy ha più volte ribadito che gli operatori tecnici non possono utilizzare autonomamente le immagini o i dati raccolti, neppure per fini statistici o di verifica delle apparecchiature e dei sistemi, senza il consenso degli interessati e l’autorizzazione del titolare.Agire fuori dalle istruzioni impartite dal titolare può trasformarli in titolari non autorizzati, con tutte le relative responsabilità.
