GDPR – PRIVACY PER LE IMPRESE – Responsabile del trattamento, chi è e cosa fa: tutto quello che c’è da sapere
il
Responsabile del trattamento, chi è e cosa
fa: tutto quello che c’è da sapere
A quasi sei anni dall’entrata in vigore del Regolamento europeo
sulla protezione dei dati, molte organizzazioni risultano ancora
incerte sulla corretta qualificazione giuridica del responsabile del
trattamento. Esaminiamone nel dettaglio caratteristiche, obblighi e
funzioni
di Chiara Ponti
Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie –
Baccalaureata
Il responsabile del trattamento è una delle figure centrali del GDPR ma, a sei
anni dall’entrata in vigore del Regolamento europeo per la protezione dei dati
(Regolamento UE 2016/679) e a 4 anni dalla sua attuazione sono ancora
molti i dubbi su quali siano le caratteristiche, il ruolo, i rapporti con un’altra
figura apicale del corpus normativo: il titolare del trattamento.
Per quanto, come vedremo in seguito, non si tratti di una “novità” del GDPR
quest’ultimo ha, senza dubbio, fissato più dettagliatamente (rispetto al Codice
Privacy) le caratteristiche dell’atto con cui il titolare è chiamato a designare un
responsabile del trattamento attribuendogli specifici compiti, ai sensi e per gli
effetti di cui all’art. 28.
Il responsabile del trattamento, chi è costui
Il responsabile del trattamento (“data processor”) nel GDPR è definito all’art.
4, par. 1, n. 8) come “la persona fisica, giuridica, PA o ente che elabora i dati
personali per conto del titolare del trattamento”.
Le condizioni essenziali che qualificano un soggetto come responsabile sono
date da un lato dalla distinzione totalizzante rispetto al titolare (“data
controller”), e dall’altro in forza della elaborazione dei dati per conto di
quest’ultimo.
Il responsabile del trattamento deve avere una competenza qualificata e
garantire una particolare affidabilità oltre a disporre di risorse tecniche
adeguate all’attuazione degli obblighi derivanti dal contratto di designazione
nonché dalle norme in materia di protezione dei dati.
Responsabili del trattamento, la condizione essenziale
Per (poter) essere qualificati responsabili del trattamento occorre che il
trattamento di dati personali avvenga “per conto” del titolare, nel senso che il
soggetto distinto tratti i dati personali a beneficio del titolare del trattamento,
senza tuttavia agire sotto l’autorità o controllo diretto del medesimo.
Nell’ambito della materia di protezione dati agire “per conto di” significa che il
responsabile del trattamento non può effettuare trattamenti per proprie finalità.
Finalità e mezzi che debbono essere sempre (e solo) stabiliti dal titolare del
trattamento.
Il responsabile del trattamento nel GDPR nel corposo
testuale art. 28
Nel GDPR il responsabile del trattamento trova una collocazione sistematica
ben precisa: al corposo art. 28 il quale consta di numerosi paragrafi, che
riportiamo testualmente
- Qualora un trattamento debba essere effettuato per conto del titolare del
trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento
che presentino garanzie sufficienti per mettere in atto misure tecniche e
organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del
presente regolamento e garantisca la tutela dei diritti dell’interessato. - Il responsabile del trattamento non ricorre a un altro responsabile senza
previa autorizzazione scritta, specifica o generale, del titolare del trattamento.
Nel caso di autorizzazione scritta generale, il responsabile del trattamento
informa il titolare del trattamento di eventuali modifiche previste riguardanti
l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al
titolare del trattamento l’opportunità di opporsi a tali modifiche. - I trattamenti da parte di un responsabile del trattamento sono disciplinati da
un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati
membri, che vincoli il responsabile del trattamento al titolare del trattamento e
che stipuli la materia disciplinata e la durata del trattamento, la natura e la
finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli
obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico
prevede, in particolare, che il responsabile del trattamento:
a) tratti i dati personali soltanto su istruzione documentata del titolare del
trattamento, anche in caso di trasferimento di dati personali verso un paese
terzo o un’organizzazione internazionale, salvo che lo richieda il diritto
dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal
caso, il responsabile del trattamento informa il titolare del trattamento circa
tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale
informazione per rilevanti motivi di interesse pubblico;
b) garantisca che le persone autorizzate al trattamento dei dati personali si
siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di
riservatezza;
c) adotti tutte le misure richieste ai sensi dell’articolo 32;
d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro
responsabile del trattamento;
e) tenendo conto della natura del trattamento, assista il titolare del trattamento
con misure tecniche e organizzative adeguate, nella misura in cui ciò sia
possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare
seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui
agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle
informazioni a disposizione del responsabile del trattamento;
g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati
personali dopo che è terminata la prestazione dei servizi relativi al trattamento
e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri
preveda la conservazione dei dati; e h) metta a disposizione del titolare del
trattamento tutte le informazioni necessarie per dimostrare il rispetto degli
obblighi di cui al presente articolo e consenta e contribuisca alle attività di
revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un
altro soggetto da questi incaricato. Con riguardo alla lettera h) del primo
comma, il responsabile del trattamento informa immediatamente il titolare del
trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o
altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati. - Quando un responsabile del trattamento ricorre a un altro responsabile del
trattamento per l’esecuzione di specifiche attività di trattamento per conto del
titolare del trattamento, su tale altro responsabile del trattamento sono
imposti, mediante un contratto o un altro atto giuridico a norma del diritto
dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei
dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento
e il responsabile del trattamento di cui al paragrafo 3, prevedendo in
particolare garanzie sufficienti per mettere in atto misure tecniche e
organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del
presente regolamento. Qualora l’altro responsabile del trattamento ometta di
adempiere ai propri obblighi in materia di protezione dei dati, il responsabile
iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità
dell’adempimento degli obblighi dell’altro responsabile. - L’adesione da parte del responsabile del trattamento a un codice di
condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione
approvato di cui all’articolo 42 può essere utilizzata come elemento per
dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo. - Fatto salvo un contratto individuale tra il titolare del trattamento e il
responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi
3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole
contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove
siano parte di una certificazione concessa al titolare del trattamento o al
responsabile del trattamento ai sensi degli articoli 42 e 43. - La Commissione può stabilire clausole contrattuali tipo per le materie di cui
ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui
all’articolo 93, paragrafo 2. - Un’autorità di controllo può adottare clausole contrattuali tipo per le materie
di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di
coerenza di cui all’articolo 63. - Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma
scritta, anche in formato elettronico. - Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il
presente regolamento, determinando le finalità e i mezzi del trattamento, è
considerato un titolare del trattamento in questione.
Il responsabile del trattamento prima del Gdpr
La figura del responsabile del trattamento, come si è anticipato, non nasce
affatto con il GDPR. Semmai assume una veste nuova.
Ex Ante GDPR (“ex” art. 30 D.lgs 196/2003)
Stando alle fonti, e facendo una breve ricognizione normativa, vediamo come
il Codice della Privacy (ante armonizzazione post GDPR) prevedeva all’art. 29
oggi abrogato che il responsabile fosse designato dal titolare facoltativamente.
Qualora designato, il responsabile veniva «…individuato tra soggetti che per
esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno
rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il
profilo relativo alla sicurezza.» Ancora, «3. Ove necessario per esigenze
organizzative, possono essere designati responsabili più soggetti, anche
mediante suddivisione di compiti. 4. I compiti affidati al responsabile sono
analiticamente specificati per iscritto dal titolare.»
Non solo, già nella disciplina ex ante, «…il titolare poteva avvalersi, per il
trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualità
di responsabili del trattamento, forniscano le garanzie […].»
Da ultimo, quanto alla regolarizzazione del rapporto titolare-responsabile, era
previsto che i primi stipulassero con i secondi «…atti giuridici in forma scritta
[…] specifican(d)o la finalità perseguita, la tipologia dei dati, la durata del
trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità
di trattamento».
Per concludere con il comma 5 a mente del quale «Il responsabile effettua il
trattamento attenendosi alle condizioni stabilite ai sensi del comma 4-bis e alle
istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche,
vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle
proprie istruzioni e di quanto stabilito negli atti di cui al comma 4-bis.»
Con l’avvento del GDPR (art. 28 Reg. UE 2016/679)
Con l’avvento del GDPR il responsabile del trattamento assume una veste
diversa.
Esso non differisce tanto nella definizione di cui all’art. 4, par. 1, n. 8, come
possiamo notare, venendo definito quale «…persona fisica o giuridica,
l’autorità pubblica, il servizio o altro organismo che tratta dati personali per
conto del titolare del trattamento».
Quanto piuttosto negli obblighi direttamente e specificamente applicabili ai
responsabili del trattamento, come avremo modo di argomentare in seguito.
Nel merito, l’attività che viene affidata al responsabile del trattamento può
accadere almeno un paio di scenari secondo i quali essa può essere:
● limitata a un compito o a un contesto molto specifico;
● di natura più generale e ampia.
Il contratto del responsabile del trattamento
Il titolare del trattamento ha la facoltà di scegliere se avvalersi o meno di
responsabili del trattamento esternalizzando il servizio di trattamento dati.
In conformità all’art. 28 i trattamenti del responsabile debbono essere
«disciplinati da un contratto o altro atto giuridico che vincoli il responsabile del
trattamento al titolare del trattamento e che stipuli la materia disciplinata e la
durata del trattamento, la natura e la finalità del trattamento, il tipo di dati
personali e le categorie di interessati, gli obblighi e i diritti del titolare del
trattamento».
Il contratto — rispondente sostanzialmente alla categoria giuridica del
“mandato” — deve tassativamente disciplinare almeno le materie riportate al
par. 3 del citato articolo al fine di dimostrare che il responsabile fornisca
garanzie sufficienti, tra cui in particolare “…la natura, durata e finalità del
trattamento o dei trattamenti assegnati, le categorie di dati oggetto di
trattamento, le misure tecniche organizzative adeguate a consentire il rispetto
delle istruzioni impartite dal titolare e, in via generale, delle disposizioni
contenute nel GDPR.
Le garanzie sufficienti
Come noto, il titolare deve ricorrere «solo a responsabili che forniscono
garanzie sufficienti per l’implementazione delle misure tecniche e
organizzative adeguate», dovendo prendere in considerazione:
● le conoscenze specialistiche del responsabile (come, ad esempio, le
competenze tecniche in materia di misure di sicurezza e violazioni dei
dati);
● l’affidabilità del responsabile;
● le risorse in suo possesso.
Si tratta di un obbligo perenne nel senso di “continuo” che impone al titolare di
valutare il rischio anche successivamente alla stipulazione del contratto,
attraverso audit ad hoc da concordarsi ed effettuarsi direttamente presso il
responsabile.
Forma del contratto o altro atto giuridico
Qualsiasi trattamento di dati personali da parte di un responsabile del
trattamento deve essere disciplinato da un contratto o altro atto giuridico,
conformemente all’art. 28, paragrafo 3, del GDPR.
Non si tratta di un “mero formalismo”. Affatto, è un vero e proprio atto giuridico
che deve essere per iscritto, anche in formato elettronico.
La carenza, come vedremo in seguito, non solo espone in concreto le parti
scoperte, ma anche renderebbe assai difficile dimostrare che il contratto o
altro atto giuridico sia effettivamente in vigore, qualora l’accorda avvenisse
sulla base di accordi verbali, non formalizzati per iscritto.
Al fine di poter adempiere all’obbligo della stipula di un contratto, il titolare e il
responsabile del trattamento possono scegliere di negoziarne uno proprio, ivi
compresi tutti gli elementi obbligatori, o di basarsi, in tutto o in parte, su
clausole contrattuali tipo in relazione agli obblighi di cui all’art. 28.
L’EDPB desidera chiarire che non vi è alcun obbligo in capo ai titolari e ai
responsabili del trattamento di stipulare un contratto basato su SCC né ciò
deve necessariamente avere la precedenza rispetto alla stipula di un contratto
ad hoc. Entrambe le opzioni sono ammissibili ai fini dell’adempimento alla
normativa in materia di protezione dei dati, a seconda delle circostanze
specifiche, purché siano soddisfatti i requisiti di cui all’articolo 28, paragrafo 3.
Si tratta, in altri termini, di un accordo tra il titolare e il responsabile del
trattamento tale da rispettare i requisiti tutti di cui all’art. 28 del GDPR, onde
garantire che il responsabile tratti i dati personali in conformità con lo stesso
(GDPR).
Contenuto
Il contratto (ex art. 28 GDPR) rappresenta uno strumento con cui il titolare e il
responsabile del trattamento possono chiarire in che modo detti elementi
saranno attuati mediante dettagliate istruzioni.
Il contratto dovrebbe altresì tener conto «dei compiti e responsabilità specifici
del responsabile del trattamento nel contesto del trattamento da eseguire e
del rischio in relazione ai diritti e alle libertà dell’interessato».
In linea generale, il contratto dovrebbe prevedere taluni elementi che possano
aiutare il responsabile del trattamento a comprendere i rischi per i diritti e le
libertà degli interessati insiti nel trattamento.
Circa il contenuto obbligatorio del contratto o altro atto giuridico, occorre che
vi sia:
● l’oggetto del trattamento (ad esempio, registrazioni di videosorveglianza
di persone che entrano o escono da una struttura ad alta sicurezza);
● la durata del trattamento dovendo specificare il periodo di tempo esatto
o i criteri utilizzati al fine di determinarlo;
● la natura del trattamento nel senso del tipo di operazioni eseguite
nell’ambito del trattamento (come ad esempio: «ripresa»,
«registrazione», «archiviazione di immagini» ecc.) e la finalità del
trattamento, descrizione che — si caldeggia — sia quanto più chiara,
precisa;
● la tipologia di dati personali da specificare nel modo più dettagliato
possibile (come ad esempio: le immagini video delle persone che
entrano ed escono dalla struttura);
● le categorie di interessati: anche questo aspetto dovrebbe essere
indicato in modo piuttosto specifico (ad esempio: «visitatori»,
«dipendenti», servizi di consegna ecc.);
● gli obblighi e i diritti del titolare del trattamento: circa i primi (gli obblighi)
del titolare del trattamento, tra gli esempi figurano quello di fornire al
responsabile del trattamento i dati di cui al contratto, di fornire e
documentare qualsivoglia istruzione relativa al trattamento dei dati da
parte del responsabile del trattamento, di garantire, prima e durante
l’intero corso del trattamento, l’adempimento degli obblighi di cui al
GDPR posti in capo al responsabile, di controllare detto trattamento
anche mediante attività di revisione e ispezioni unitamente al suddetto
responsabile.
Forma
Per quanto concerne la “forma”, si potrebbe dire che la stessa sia oggi
concepita specie in questo contesto non tanto come un mero formalismo, ma
come invece un atto formale necessario oltre che la “scatola” che contiene le
possibili (e azionabili) tutele nei confronti di ambo le parti.
Le clausole contrattuali tipo della Commissione
europea
La Commissione europea lo scorso 4 giugno del 2021 ha adottato le clausole
contrattuali tipo per regolamentare i rapporti tra titolare e responsabile.
É appena il caso di ricordare che qualsiasi modifica al DPA (data processing
agreement) sopravvenuta e in costanza di rapporto contrattuale necessita di
notifica al titolare, il quale dovrà approvarla con un atto di manifestazione di
volontà concreto e attivo, non potendo la semplice pubblicazione sul sito web
ovvero la mera comunicazione via e-mail sostituirne l’informazione e
susseguente consapevole approvazione.
Consulta le Clausole contrattuali standard adottate dalla Commissione
europea sui rapporti tra titolare e responsabile
Perché adeguarsi
Le clausole contrattuali tipo sono caldamente consigliate per ovvie
motivazioni, tra cui ne citiamo alcune soltanto.
Innanzitutto, per il fatto che sono uscite in Gazzetta ufficiale europea,
circostanza non così frequente.
In secondo luogo, per evidenti ragioni di accountability. Teniamo a precisare
che l’adeguamento a tale format è facoltativo, con la conseguenza tuttavia
che in caso di utilizzo di altre (vecchie) matrici occorrerà un duplice sforzo, da
un lato implementare gli allegati (in particolare quello sulle misure di
sicurezza), e dall’altro motivare le ragioni dello scostamento, non sempre
agevoli.
Il ruolo da responsabile del trattamento
Il ruolo del responsabile va definito senza ombra di dubbio in relazione al
contesto.
La regola generale prevede che il titolare del trattamento risponda della
gestione effettuata dai responsabili (Considerando 81). Compito specifico del
titolare è quello di valutare il rischio del trattamento.
In ogni caso, il titolare deve sempre poter sindacare le decisioni dei
responsabili, i quali per parte loro debbono essere in grado di fornire garanzie
al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento
dei dati personali, nonché di garantire la tutela dei diritti dell’interessato, al
centro di tutto il GDPR.
Il responsabile del trattamento di oggi, secondo l’EDPB (7/2020)
Il ruolo del responsabile del trattamento di cui al regolamento europeo, oggi, è
pacificamente riservato ad un soggetto esterno all’Organizzazione, specie con
riferimento ai fornitori di servizi.
Il responsabile del trattamento tratta i dati attenendosi alle istruzioni impartite
dal titolare, si assume responsabilità proprie e ne risponde alle competenti
autorità.
La “scomparsa” dei Responsabili interni, di ieri
Come anticipato, in principio, il vecchio Codice Privacy prevedeva già il
responsabile del trattamento cd interno. Tuttavia, l’accezione data in allora
appare totalmente differente a quella che si vuole attribuire oggi.
I rapporti tra responsabile e titolare
Una “novità” introdotta dal GDPR è data dalle disposizioni impositive
particolari obblighi ai responsabili del trattamento, come ad esempio, la
garanzia che gli autorizzati si siano impegnate alla riservatezza, oppure la
tenuta di un registro di tutte le categorie di attività relative al trattamento,
l’attuazione di misure tecniche e organizzative adeguate, eccetera.
La scelta del responsabile: criteri e procedure
Il titolare del trattamento deve impiegare «unicamente responsabili del
trattamento che presentino garanzie sufficienti per mettere in atto misure
tecniche e organizzative adeguate», affinché il trattamento ora soddisfi i
requisiti del GDPR anche in merito alla sicurezza, ora garantisca la tutela dei
diritti degli interessati.
Le garanzie «presentate» dal responsabile del trattamento sono le stesse che
il medesimo è in grado di dimostrare in modo soddisfacente al titolare del
trattamento.
Sovente, ciò richiederà un talvolta copioso scambio di documentazione
pertinente, come ad esempio, la policy di accountability, le condizioni di
erogazione del servizio, il registro delle attività di trattamento, i meccanismi di
gestione dei log, politica in materia di sicurezza delle informazioni, ove
presente, meglio se rispondente ai parametri della “famiglia” delle ISO 27000.
L’obbligo di impiegare solo responsabili del trattamento ad hoc, per il tramite
di procedure specifiche sul tema confezionate, rappresenta un obbligo
permanente.
I responsabili e i sub-responsabili, tra rapporti e
obblighi
Non è infrequente che un trattamento di dati personali coinvolga più soggetti
definibili ai sensi dell’art. 28 GDPR “responsabili”.
Ma non è tutto. Anzi, spesso accade che un titolare del trattamento si avvalga
di un solo responsabile del trattamento il quale, a sua volta, previa
autorizzazione generale o specifica prestata dal titolare medesimo, utilizzi uno
o più responsabili del trattamento cd “subresponsabili”.
Questi ultimi sono soggetti che assumono, a loro volta, il ruolo di responsabile
nei confronti di altro responsabile, come ad esempio in caso di subappalto o
subfornitura e per conseguenza anche delle attività di trattamento, per conto
del titolare.
L’autorizzazione può essere generale ovvero specifica.
Anche all’eventuale sub-responsabile dovranno essere fornite le istruzioni,
dovendo anche egli operare nel pieno rispetto degli obblighi imposti al primo
responsabile del trattamento, oltre a dover fornire le garanzie sufficienti
previste dall’art. 28 GDPR (par. 3), proprio come il responsabile nei confronti
del titolare. Dette garanzie, al pari delle altre, dovranno essere
contrattualizzate.
Senza tuttavia dimenticare che resta sempre e comunque il primo/principale
responsabile a rispondere dell’eventuale inadempimento dei successivi
sub-responsabili, anche ai fini del risarcimento di eventuali danni causati dal
trattamento, nei confronti del titolare, salva la prova di cui all’art. 1218 c.c.
La catena di controllo
L’affidamento all’esterno di trattamenti, come appare intuitivo, genera una
‘filiera’ di attività più o meno complessa in relazione al numero dei soggetti
partecipanti (responsabili e sub-responsabili del trattamento).
Allo stato attuale la gestione conforme della filiera dei responsabili e sub è
ancora molto frammentata, nonostante il quinquennio comunque trascorso.
Senza contare che spesse volte è dato riscontrare, specie all’interno di realtà
importanti/grandi difetta spesso una sinergia tra il team privacy interno e il
procurement.
In tema di filiera dei trattamenti, (soltanto) la CNIL ha ritenuto consentita la
riutilizzazione dei dati personali trattati per conto del titolare del trattamento da
parte di un responsabile e per finalità proprie di quest’ultimo.
I diversi obblighi del responsabile del trattamento
Il responsabile ha, in questa (nuova) veste, diversi obblighi.
Anzitutto, ha l’onere di tenere un registro delle attività di trattamento.
In secondo luogo, egli ha l’obbligo di garantire la sicurezza dei dati, adottando
tutte le misure di sicurezza adeguate al rischio (art. 32 GDPR).
Inoltre, il responsabile ha l’obbligo di avvisare, assistere e consigliare il
titolare. Dovrà, quindi, consentire e contribuire alle attività di revisione,
comprese gli audit, da previamente concordare.
Per completezza, diciamo ancora che l’art.27 GDPR precedente prevede che
il responsabile del trattamento debba designare per iscritto un
Rappresentante nell’Unione nel caso in cui si occupi del «trattamento dei dati
personali di interessati che si trovano nell’Unione, effettuato da un titolare del
trattamento o da un responsabile del trattamento che non è stabilito
nell’Unione, quando le attività di trattamento riguardano: (C23, C24) a) l’offerta
di beni o la prestazione di servizi ai suddetti interessati nell’Unione,
indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
oppure b) il monitoraggio del loro comportamento nella misura in cui tale
comportamento ha luogo all’interno dell’Unione».
Siffatto obbligo non sussiste solo e nella misura in cui il trattamento sia
occasionale e non inclusivo quello su larga scala di categorie particolari di dati
di cui all’art. 9, par. 1, o di dati personali relativi a condanne penali e a reati di
cui all’art. 10. Mentre, non si applica per nulla alle autorità pubbliche o agli
organismi pubblici.
Obbligo di assistenza al titolare del trattamento
Il responsabile è tenuto a fornire tutta l’assistenza richiesta dal titolare del
trattamento.
Il tipo e il grado di assistenza che il responsabile del trattamento è tenuto a
fornire possono, con tutta evidenza, variare notevolmente «tenendo conto
della natura del trattamento e delle informazioni a disposizione del
responsabile del trattamento».
Per converso, il titolare è tenuto a informare in maniera adeguata il
responsabile del trattamento circa i rischi di quest’ultimo e a qualsiasi altra
circostanza tale da poter aiutare il responsabile del trattamento a svolgere i
propri compiti.
Tra gli obblighi specifici di assistenza (al titolare) rientra l’assistenza in caso di
data breach.
Il responsabile del trattamento deve assistere il titolare nell’adempimento
dell’obbligo di notificare le violazioni dei dati personali all’autorità di controllo e
agli interessati. In base alle caratteristiche specifiche del trattamento affidato
al responsabile, è d’uopo stabilire all’interno del contratto ex art. 28 un lasso di
tempo specifico (ad esempio, il numero di ore) entro il quale il responsabile
del trattamento deve informare il titolare. Generalmente si indicano 24, 36 ore
in considerazione delle 72 ore che il titolare del trattamento ha a disposizione
per notificare ex art. 33 GDPR una volta accertato che si sia in presenza non
di un semplice incidente di sicurezza, ma di un vero e proprio data breach.
Obbligo di cancellazione/restituzione dei dati, su richiesta-scelta
del titolare
Al responsabile incombe poi un altro compito, quello cioè di cancellare e
quindi restituire i dati, circostanza da doversi specificare nel contratto.
Qualora il titolare del trattamento dovesse scegliere di cancellare i dati
personali, il responsabile del trattamento è tenuto a garantire che la
cancellazione sia effettuata in un modo sicuro e conforme ai parametri di cui
all’art. 32, fornendone prova purché questa non si annoveri tra le probatio
diabolica.
Il tutto si lega anche a un altro tema fondamentale del GDPR, vale a dire la
conservazione; per quanto il responsabile del trattamento debba comunque
cancellare tutte le copie esistenti dei dati, salvo che il diritto dell’UE o degli
Stati membri non preveda un’ulteriore conservazione.
Obbligo di mettere a disposizione del titolare tutte le informazioni
necessarie
Il contratto deve prevedere poi disposizioni dettagliate sulla frequenza e
modalità del flusso di informazioni tra il responsabile e il titolare del
trattamento, in modo tale che il titolare del trattamento sia pienamente
informato in merito a quegli elementi del trattamento atti a dimostrare il
rispetto degli obblighi di cui all’articolo 28 del GDPR.
Le parti dovrebbero cooperare in buona fede e valutare se e quando sia
necessario effettuare attività di revisione presso il responsabile del trattamento
nonché quale tipo di revisione o ispezione (a distanza/in loco/secondo altre
modalità utili per raccogliere le informazioni necessarie) sia necessario e
appropriato nel caso di specie, tenendo conto altresì delle questioni in materia
di sicurezza; la scelta finale in merito spetta al titolare del trattamento.
Analogamente, dovrebbero essere stabilite procedure specifiche per quanto
riguarda l’ispezione dei sub-responsabili del trattamento da parte del
responsabile e del titolare.
Obbligo di assistere il titolare nelle richieste di esercizio dei diritti
Pur stipulando che dare seguito alle richieste degli interessati sia di
competenza del titolare del trattamento, il contratto deve prevedere che il
responsabile del trattamento abbia l’obbligo di fornire assistenza «con misure
tecniche e organizzative adeguate, nella misura in cui ciò sia possibile». La
natura di tale assistenza può variare notevolmente «tenendo conto della
natura del trattamento» e a seconda del tipo di attività affidata al responsabile.
I dettagli relativi all’assistenza che il responsabile del trattamento è tenuto a
fornire dovrebbero essere previsti nel contratto o in un suo allegato.
Mentre l’assistenza in questione può consistere semplicemente nel
trasmettere tempestivamente qualsiasi richiesta ricevuta e/o nel consentire al
titolare del trattamento di estrarre e gestire direttamente i dati personali
pertinenti, in talune circostanze al responsabile saranno affidati compiti tecnici
più specifici, in particolare laddove sia in grado di estrarre e gestire i dati
personali.
È fondamentale tenere presente che, sebbene la gestione pratica delle
singole richieste possa essere esternalizzata al responsabile del trattamento,
è al titolare che spetta soddisfarle. Pertanto, la valutazione dell’ammissibilità
delle richieste degli interessati e/o del rispetto dei requisiti di cui al GDPR
dovrebbe essere effettuata dal titolare del trattamento, caso per caso o
mediante istruzioni chiare fornite al responsabile per mezzo del contratto
prima dell’inizio del trattamento. Inoltre, i termini di cui al capo III non possono
essere prorogati dal titolare sulla base del fatto che le informazioni necessarie
devono essere fornite dal responsabile del trattamento.
Le istruzioni date dal titolare al responsabile, tenuto ad attenersi
Il titolare del trattamento deve fornire al responsabile “istruzioni” relative a
ciascuna attività di trattamento. Il responsabile si limita a quanto disposto dal
titolare del trattamento, ma ha la possibilità di suggerire elementi che, se
accettati dal titolare del trattamento, diventano parte delle istruzioni impartite.
Le istruzioni impartite dal titolare del trattamento devono essere documentate.
A tal fine, come scrive l’EDPD «si raccomanda di prevedere una procedura e
un modello per fornire ulteriori istruzioni attraverso un allegato al contratto o
altro atto giuridico. In alternativa, le istruzioni possono essere impartite in
qualsiasi forma scritta (ad esempio per posta elettronica) e in qualsivoglia
altra forma documentata, purché sia possibile documentarle. In ogni caso, per
evitare difficoltà nel dimostrare che le istruzioni del titolare del trattamento
sono state debitamente documentate, l’EDPB raccomanda di accorpare tali
istruzioni al contratto o al diverso atto giuridico».
Le misure in capo ai responsabili secondo la ISO/IEC 27001:2013 e la
ISO/IEC 27701:2019
Il noto e famoso art. 32 del GDPR, in pratica sulle misure di sicurezza, impone
al titolare e al responsabile del trattamento di mettere in atto misure tecniche e
organizzative di sicurezza adeguate.
Con riferimento all’obbligo in capo al responsabile del trattamento di ottenere
l’approvazione del titolare del trattamento prima di apportare eventuali
modifiche risiede essenzialmente in un riesame periodico delle misure di
sicurezza, onde garantirne l’adeguatezza rispetto ai rischi, variabile nel tempo.
Il responsabile del trattamento in funzione di
amministratore di sistema
Il GDPR non prevede espressamente la figura dell’amministratore di sistema,
come noto.
É il Garante italiano (nella fattispecie l’illustre Prof. Pizzetti) che nel famoso
provvedimento sugli amministratori di sistema del 2008 (poi modificato il 26
giugno 2009) definisce l’amministratore di sistema” (cd AdS), in ambito
informatico, «…la figura professionale finalizzate alla gestione e alla
manutenzione di un impianto di elaborazione o di sue componenti, facendo
però rientrare in essa anche le altre figure equiparabili dal punto di vista dei
rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli
amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi
software complessi».
La mancata espressa citazione all’interno del GDPR, come per altro (e ci
riferiamo agli illeciti penali), non significa che tale figura sia sparita. Niente
affatto.
Ricordiamo che l’amministratore di sistema è un ruolo operativo,
fondamentale per la sicurezza dei sistemi informatici e telematici e delle
banche dati, e quindi con specifiche competenze tecniche, al quale è affidato
il compito della gestione di tali sistemi, autorizzando altri soggetti (sempre in
base alle istruzioni ricevute) all’accesso ai sistemi (ad es. registrazione degli
accessi logici, accessi logici separati, ecc.), oltre al compito di vigilare
sull’utilizzo dei sistemi.
É chiaro ed evidente che, qualora tale ruolo venga esternalizzato,
l’amministratore di sistema sarà un responsabile del trattamento.
Una possibile formula che si potrebbe suggerire da inserire nel contratto ex
art. 28 potrebbe essere del seguente tenore: «qualora i compiti assegnati al
Responsabile, le funzioni da esso svolte e le attività di trattamento dei dati
personali condotte entro il proprio ambito, dovessero prevedere la gestione e
la manutenzione di impianti di elaborazione di proprietà del Titolare, il
Responsabile dovrà provvedere ad individuare, selezionare ed elencare il
personale adibito a questa funzione, garantendone altresì la valutazione, la
designazione e l’elencazione, secondo quanto stabilito dal provvedimento
sugli amministratori di sistema.»
Un caso specifico e gli esempi del Board
Illustriamo ora, di seguito, un caso di specie e, poi, riportiamo talquali gli
esempi che l’EDPB ha individuato e commentato nella linea guida 7/2020.
Il servizio di web hosting
Il servizio di web hosting è giuridicamente il responsabile del trattamento dei
dati rispetto al gestore del sito web, poiché detto servizio elabora i dati per
conto del titolare (cioè il cliente). Da qui, la necessità di un contratto tra titolare
e web hosting, precisandone bene i termini tra cui le misure di sicurezza
(tecniche e organizzative) da mettere in atto, adeguate al rischio valutato.
L’hosting dal canto suo dovrà attenersi alle istruzioni impartitegli e di cui al
contratto, pur rimanendo una qual certa discrezionalità, ad esempio nella
scelta degli strumenti tecnici ed organizzativi più idonei.
L’hosting dovrà tenere per bene il registro dei trattamenti effettuati per conto
del cliente (titolare), secondo le forme e modalità di cui all’art. 30 del GDPR,
cui si rinvia.
Pacificamente, da ultimo corre d’obbligo precisare che il web hosting è
responsabile del trattamento con riferimento ai soli trattamenti realizzati per
conto del gestore del sito (quale titolare), cliente dell’hosting.
Gli esempi dell’EDPB
Riportiamo nella tabella che segue gli esempi che il Board riporta,
testualmente.
ESEMPI PROSPETTATI
Servizio
di taxi
Un servizio di taxi offre una piattaforma online che consente alle società di
prenotare un taxi per trasportare dipendenti o ospiti da e verso l’aeroporto. Al
momento della prenotazione di un taxi, la società ABC specifica il nome del
dipendente che dovrebbe essere prelevato dall’aeroporto in modo che il
conducente possa verificarne l’identità all’arrivo. In questo caso, il servizio taxi
tratta i dati personali del dipendente nell’ambito del servizio prestato alla
società ABC, ma il trattamento in quanto tale non è l’obiettivo del servizio. Il
servizio taxi ha concepito la piattaforma di prenotazione online come parte
dello sviluppo della propria attività commerciale per fornire servizi di trasporto,
senza alcuna istruzione da parte della società ABC. Il servizio taxi determina
inoltre in modo indipendente le categorie dei dati raccolti e la durata
dell’archiviazione. Il servizio agisce quindi in quanto titolare del trattamento
pienamente autonomo, malgrado il fatto che il trattamento dei dati ha luogo a
seguito di una richiesta di prestazione del servizio da parte della società ABC.
L’EDPB osserva che un fornitore di servizi può comunque agire come responsabile
del trattamento anche laddove il trattamento dei dati personali non sia l’oggetto
principale o primario del servizio, a condizione che, nella pratica, il cliente del
servizio continui a determinarne le finalità e i mezzi. Nel decidere se affidare o
meno il trattamento dei dati personali a un determinato prestatore di servizi, i
titolari del trattamento dovrebbero valutare attentamente se il prestatore dei servizi
in questione consenta loro di esercitare un livello di controllo sufficiente, tenendo
conto della natura, dell’ambito di applicazione, del contesto e delle finalità del
trattamento, nonché dei rischi potenziali per gli interessati.
Call
center
La società X esternalizza l’assistenza al cliente alla società Y, che mette a
disposizione un call center per agevolare le risposte ai clienti della società X. La
fornitura del servizio di assistenza clienti implica che la società Y abbia accesso
alle banche dati relative ai clienti della società X. La società Y può accedere ai
dati solo per fornire l’assistenza che la società X ha acquistato e non può
trattare i dati per finalità diverse da quelle dichiarate dalla società X. La società
Y deve essere considerata responsabile del trattamento dei dati personali e tra
la società X e la Y deve essere concluso un accordo di trattamento.
Servizi
informat
ici
generali
La società Z si rivolge a un fornitore di servizi informatici per la manutenzione
generale dei propri sistemi informatici che contengono una grande quantità di
dati personali. L’accesso ai dati personali non è l’oggetto principale del servizio
di assistenza, ma è inevitabile che il fornitore di servizi informatici vi abbia
sistematicamente accesso durante la fornitura del servizio. La società Z
desume pertanto che il fornitore di servizi informatici, essendo una società
distinta che inevitabilmente è tenuta a trattare dati personali, anche se questo
non è l’obiettivo principale del servizio, debba essere considerata responsabile
del trattamento. Un accordo di trattamento è pertanto concluso con il fornitore
di servizi informatici.
Consule
nte
informat
ico che
risolve
un
problem
a di
software
La società ABC si rivolge a uno specialista informatico di un’altra società per
risolvere un «bug» in un proprio software. Il consulente informatico non è
ingaggiato per trattare dati personali e la società ABC stabilisce che l’accesso a
tali dati sarà puramente accessorio e, pertanto, estremamente limitato nella
pratica. La società ABC conclude pertanto che lo specialista informatico non sia
responsabile del trattamento (né un autonomo titolare del trattamento) e decide
di adottare misure adeguate, a norma dell’articolo 32 del GDPR, al fine di
impedirgli di trattare i dati personali in modo non autorizzato. - Come indicato in precedenza, nulla osta a che un responsabile del trattamento
offra un servizio secondo caratteristiche predeterminate, ma il titolare deve
prendere la decisione finale di approvare attivamente le modalità di esecuzione del
trattamento, almeno per quanto concerne i mezzi essenziali
dello stesso. Come detto, un responsabile del trattamento dispone di un margine
di manovra per quanto riguarda i mezzi non essenziali (cfr. la sottosezione 2.1.4).
Fornitore
di servizi
cloud
Un comune ha deciso di utilizzare un fornitore di servizi cloud per la gestione
delle informazioni nei propri servizi scolastici e di istruzione. Il servizio cloud
fornisce servizi di messaggistica, videoconferenze, archiviazione di documenti,
gestione del calendario, trattamento testi, ecc. e ciò comporterà il trattamento
di dati personali relativi agli alunni e agli insegnanti. Il fornitore di servizi cloud
ha proposto un servizio standardizzato, offerto a livello mondiale. Il comune
deve comunque assicurarsi che l’accordo in vigore sia conforme all’articolo 28,
paragrafo 3, del GDPR, e che i dati personali di cui è titolare siano trattati
esclusivamente per le proprie finalità. Deve inoltre assicurarsi che le sue
istruzioni specifiche, concernenti per esempio i periodi di archiviazione, la
cancellazione dei dati ecc. siano rispettate dal fornitore di servizi cloud,
indipendentemente da quanto previsto in via generale dal servizio
standardizzato.
Le responsabilità e il ristoro degli eventuali danni
Il responsabile del trattamento può essere ritenuto sì responsabile e quindi
sanzionabile (ex artt. 82 e 83) in caso di inadempimento degli anzidetti
obblighi ovvero nel caso in cui agisca al di fuori o in contrasto con le istruzioni
impartite dal titolare del trattamento.
Le condotte che non siano conformi al GDPR dal momento che determinano
finalità e mezzi del trattamento — agendo in pratica nella qualità di un vero e
proprio titolare —sortiscono proprio l’effetto di qualificare de plano il
responsabile quale titolare “ipso iure” del trattamento.
In termini di ripartizione delle responsabilità, in presenza di più titolari o
responsabili coinvolti nello stesso trattamento e, accertato che siano tutte
responsabili del danno cagionato, ne risponderanno in solido per l’intero
danno, con quanto per conseguenza (diritto di rivalsa e azione di regresso).
Il titolare e il responsabile sono invece esonerati da responsabilità qualora
riescano a dimostrare che l’evento dannoso non sia a loro imputabile,
secondo i meccanismi squisitamente civilistici (art. 1218 cc e ss).
Di certo, un dato è indiscutibile: nel nuovo impianto dettato dal GDPR, proprio
in virtù del principio di accountability, non è contemplata né contemplabile uno
“scarico” di responsabilità su qualche altro soggetto/attore/protagonista del
Regolamento.
Le sanzioni in Italia per mancata regolarizzazione tra
titolare e responsabile
La violazione, tra gli altri, dell’art. 28 determina ipso facto, in caso di verifica
(dettata da segnalazione/reclamo/data breach/ visita ispettiva) l’irrogazione di
sanzioni amministrative pecuniarie di cui al primo scaglione, vale a dire fino a
10 milioni di euro oppure, per le imprese, al 2% del fatturato mondiale annuo
dell’esercizio precedente, se superiore, come da disposto di cui all’art. 83.
Al riguardo, citiamo il provvedimento (ordinanza – ingiunzione) emesso lo
scorso settembre 2021 nei confronti di Roma capitale, eloquente in tal senso,
e nella fattispecie con riferimento alla carenza dell’art. 28 afferma chiaramente
che, con riferimento alla “…mancata definizione del ruolo dei soggetti esterni
coinvolti nel trattamento” il Garante scrive testualmente al punto 3.3.:
«Ai fini del rispetto della normativa in materia di protezione dei dati personali,
occorre identificare con precisione i soggetti che, a diverso titolo, possono
trattare i dati personali e definire chiaramente le rispettive attribuzioni, in
particolare quella di titolare e di responsabile del trattamento e dei soggetti
che operano sotto la diretta responsabilità di questi (art. 4, par. 1, punto 7 del
Regolamento).
Come già chiarito precedentemente dal Garante, il titolare, nel caso di specie
Roma Capitale, è il soggetto sul quale ricadono le decisioni circa le finalità e le
modalità del trattamento dei dati personali degli interessati nonché una
“responsabilità generale” sui trattamenti posti in essere (v. art. 5, par. 2 c.d.
“accountability” e 24 del Regolamento), anche quando questi siano effettuati
da altri soggetti “per suo conto” (cons. 81, artt. 4, punto 8) e 28 del
Regolamento; cfr. anche provvedimento n. 81 del 7 marzo 2019, doc. web
9121890; provvedimento n. 160 del 17 settembre 2020, doc. web 9461168).
Il rapporto tra titolare e responsabile deve essere regolato da un contratto o
da altro atto giuridico, stipulato per iscritto che, oltre a vincolare
reciprocamente le due figure, consente al titolare di impartire istruzioni al
responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la
durata, la natura e le finalità del trattamento, il tipo di dati personali e le
categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del
trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su
istruzione documentata del titolare” (art. 28, par. 3, lett. a) del Regolamento).
Il Regolamento ha disciplinato anche gli obblighi e le altre forme di
cooperazione cui è tenuto il responsabile del trattamento quando agisce per
conto del titolare e l’ambito delle rispettive responsabilità (v. artt. 30, 33, par. 2
e 82 del Regolamento).
Omissis
La mancata definizione del rapporto con i soggetti esterni coinvolti nel
trattamento, – ferme restando le valutazioni in ordine alla liceità del
trattamento svolto dalle società, che saranno oggetto di autonomi
procedimenti – ha comportato la violazione dell’art. 28 del Regolamento da
parte di Roma Capitale.
Altri casi ancora e in chiusura, ponendo uno sguardo sulla compliance se
pensiamo a “B&T-Dorelan”, “Enel Energia” e “Google analytics vs. DSB” ci
narrano di situazioni che danno luogo a filiere di trattamenti la cui compliance
alla disciplina del trattamento dei dati personali – quale che sia la loro
complessità – ricade comunque sotto la “responsabilità generale” del titolare
del trattamento.
Pertanto, nella prospettiva dei Garanti, per il vero, l’esternalizzazione dei
trattamenti implica il controllo della filiera da essa generata, che va
implementato attraverso misure tecniche e organizzative (con modelli
organizzativi).
Con tutta evidenza, l’assenza di controllo, come desumibile dai due casi sopra
citati (Dorelan ed Enel energia) non può non avere ricadute sugli interessati
ed in particolare sui lori diritti all’informativa, all’azionabilità dei diritti tutti,
nonché alla violazione dei dati potenziali data breach.
fonte: AGENDA DIGITALE
