GDPR – PRIVACY PER LE IMPRESE – Responsabile del trattamento, chi è e cosa fa: tutto quello che c’è da sapere

Responsabile del trattamento, chi è e cosa
fa: tutto quello che c’è da sapere

A quasi sei anni dall’entrata in vigore del Regolamento europeo
sulla protezione dei dati, molte organizzazioni risultano ancora
incerte sulla corretta qualificazione giuridica del responsabile del
trattamento. Esaminiamone nel dettaglio caratteristiche, obblighi e
funzioni
di Chiara Ponti
Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie –
Baccalaureata
Il responsabile del trattamento è una delle figure centrali del GDPR ma, a sei
anni dall’entrata in vigore del Regolamento europeo per la protezione dei dati
(Regolamento UE 2016/679) e a 4 anni dalla sua attuazione sono ancora
molti i dubbi su quali siano le caratteristiche, il ruolo, i rapporti con un’altra
figura apicale del corpus normativo: il titolare del trattamento.
Per quanto, come vedremo in seguito, non si tratti di una “novità” del GDPR
quest’ultimo ha, senza dubbio, fissato più dettagliatamente (rispetto al Codice
Privacy) le caratteristiche dell’atto con cui il titolare è chiamato a designare un
responsabile del trattamento attribuendogli specifici compiti, ai sensi e per gli
effetti di cui all’art. 28.
Il responsabile del trattamento, chi è costui
Il responsabile del trattamento (“data processor”) nel GDPR è definito all’art.
4, par. 1, n. 8) come “la persona fisica, giuridica, PA o ente che elabora i dati
personali per conto del titolare del trattamento”.
Le condizioni essenziali che qualificano un soggetto come responsabile sono
date da un lato dalla distinzione totalizzante rispetto al titolare (“data
controller”), e dall’altro in forza della elaborazione dei dati per conto di
quest’ultimo.
Il responsabile del trattamento deve avere una competenza qualificata e
garantire una particolare affidabilità oltre a disporre di risorse tecniche
adeguate all’attuazione degli obblighi derivanti dal contratto di designazione
nonché dalle norme in materia di protezione dei dati.
Responsabili del trattamento, la condizione essenziale
Per (poter) essere qualificati responsabili del trattamento occorre che il
trattamento di dati personali avvenga “per conto” del titolare, nel senso che il
soggetto distinto tratti i dati personali a beneficio del titolare del trattamento,
senza tuttavia agire sotto l’autorità o controllo diretto del medesimo.
Nell’ambito della materia di protezione dati agire “per conto di” significa che il
responsabile del trattamento non può effettuare trattamenti per proprie finalità.
Finalità e mezzi che debbono essere sempre (e solo) stabiliti dal titolare del
trattamento.
Il responsabile del trattamento nel GDPR nel corposo
testuale art. 28
Nel GDPR il responsabile del trattamento trova una collocazione sistematica
ben precisa: al corposo art. 28 il quale consta di numerosi paragrafi, che
riportiamo testualmente

  1. Qualora un trattamento debba essere effettuato per conto del titolare del
    trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento
    che presentino garanzie sufficienti per mettere in atto misure tecniche e
    organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del
    presente regolamento e garantisca la tutela dei diritti dell’interessato.
  2. Il responsabile del trattamento non ricorre a un altro responsabile senza
    previa autorizzazione scritta, specifica o generale, del titolare del trattamento.
    Nel caso di autorizzazione scritta generale, il responsabile del trattamento
    informa il titolare del trattamento di eventuali modifiche previste riguardanti
    l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al
    titolare del trattamento l’opportunità di opporsi a tali modifiche.
  3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da
    un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati
    membri, che vincoli il responsabile del trattamento al titolare del trattamento e
    che stipuli la materia disciplinata e la durata del trattamento, la natura e la
    finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli
    obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico
    prevede, in particolare, che il responsabile del trattamento:
    a) tratti i dati personali soltanto su istruzione documentata del titolare del
    trattamento, anche in caso di trasferimento di dati personali verso un paese
    terzo o un’organizzazione internazionale, salvo che lo richieda il diritto
    dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal
    caso, il responsabile del trattamento informa il titolare del trattamento circa
    tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale
    informazione per rilevanti motivi di interesse pubblico;
    b) garantisca che le persone autorizzate al trattamento dei dati personali si
    siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di
    riservatezza;
    c) adotti tutte le misure richieste ai sensi dell’articolo 32;
    d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro
    responsabile del trattamento;
    e) tenendo conto della natura del trattamento, assista il titolare del trattamento
    con misure tecniche e organizzative adeguate, nella misura in cui ciò sia
    possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare
    seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
    f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui
    agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle
    informazioni a disposizione del responsabile del trattamento;
    g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati
    personali dopo che è terminata la prestazione dei servizi relativi al trattamento
    e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri
    preveda la conservazione dei dati; e h) metta a disposizione del titolare del
    trattamento tutte le informazioni necessarie per dimostrare il rispetto degli
    obblighi di cui al presente articolo e consenta e contribuisca alle attività di
    revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un
    altro soggetto da questi incaricato. Con riguardo alla lettera h) del primo
    comma, il responsabile del trattamento informa immediatamente il titolare del
    trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o
    altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.
  4. Quando un responsabile del trattamento ricorre a un altro responsabile del
    trattamento per l’esecuzione di specifiche attività di trattamento per conto del
    titolare del trattamento, su tale altro responsabile del trattamento sono
    imposti, mediante un contratto o un altro atto giuridico a norma del diritto
    dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei
    dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento
    e il responsabile del trattamento di cui al paragrafo 3, prevedendo in
    particolare garanzie sufficienti per mettere in atto misure tecniche e
    organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del
    presente regolamento. Qualora l’altro responsabile del trattamento ometta di
    adempiere ai propri obblighi in materia di protezione dei dati, il responsabile
    iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità
    dell’adempimento degli obblighi dell’altro responsabile.
  5. L’adesione da parte del responsabile del trattamento a un codice di
    condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione
    approvato di cui all’articolo 42 può essere utilizzata come elemento per
    dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.
  6. Fatto salvo un contratto individuale tra il titolare del trattamento e il
    responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi
    3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole
    contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove
    siano parte di una certificazione concessa al titolare del trattamento o al
    responsabile del trattamento ai sensi degli articoli 42 e 43.
  7. La Commissione può stabilire clausole contrattuali tipo per le materie di cui
    ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui
    all’articolo 93, paragrafo 2.
  8. Un’autorità di controllo può adottare clausole contrattuali tipo per le materie
    di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di
    coerenza di cui all’articolo 63.
  9. Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma
    scritta, anche in formato elettronico.
  10. Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il
    presente regolamento, determinando le finalità e i mezzi del trattamento, è
    considerato un titolare del trattamento in questione.
    Il responsabile del trattamento prima del Gdpr
    La figura del responsabile del trattamento, come si è anticipato, non nasce
    affatto con il GDPR. Semmai assume una veste nuova.
    Ex Ante GDPR (“ex” art. 30 D.lgs 196/2003)
    Stando alle fonti, e facendo una breve ricognizione normativa, vediamo come
    il Codice della Privacy (ante armonizzazione post GDPR) prevedeva all’art. 29
    oggi abrogato che il responsabile fosse designato dal titolare facoltativamente.
    Qualora designato, il responsabile veniva «…individuato tra soggetti che per
    esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno
    rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il
    profilo relativo alla sicurezza.» Ancora, «3. Ove necessario per esigenze
    organizzative, possono essere designati responsabili più soggetti, anche
    mediante suddivisione di compiti. 4. I compiti affidati al responsabile sono
    analiticamente specificati per iscritto dal titolare.»
    Non solo, già nella disciplina ex ante, «…il titolare poteva avvalersi, per il
    trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualità
    di responsabili del trattamento, forniscano le garanzie […].»
    Da ultimo, quanto alla regolarizzazione del rapporto titolare-responsabile, era
    previsto che i primi stipulassero con i secondi «…atti giuridici in forma scritta
    […] specifican(d)o la finalità perseguita, la tipologia dei dati, la durata del
    trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità
    di trattamento».
    Per concludere con il comma 5 a mente del quale «Il responsabile effettua il
    trattamento attenendosi alle condizioni stabilite ai sensi del comma 4-bis e alle
    istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche,
    vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle
    proprie istruzioni e di quanto stabilito negli atti di cui al comma 4-bis.»
    Con l’avvento del GDPR (art. 28 Reg. UE 2016/679)
    Con l’avvento del GDPR il responsabile del trattamento assume una veste
    diversa.
    Esso non differisce tanto nella definizione di cui all’art. 4, par. 1, n. 8, come
    possiamo notare, venendo definito quale «…persona fisica o giuridica,
    l’autorità pubblica, il servizio o altro organismo che tratta dati personali per
    conto del titolare del trattamento».
    Quanto piuttosto negli obblighi direttamente e specificamente applicabili ai
    responsabili del trattamento, come avremo modo di argomentare in seguito.
    Nel merito, l’attività che viene affidata al responsabile del trattamento può
    accadere almeno un paio di scenari secondo i quali essa può essere:
    ● limitata a un compito o a un contesto molto specifico;
    ● di natura più generale e ampia.
    Il contratto del responsabile del trattamento
    Il titolare del trattamento ha la facoltà di scegliere se avvalersi o meno di
    responsabili del trattamento esternalizzando il servizio di trattamento dati.
    In conformità all’art. 28 i trattamenti del responsabile debbono essere
    «disciplinati da un contratto o altro atto giuridico che vincoli il responsabile del
    trattamento al titolare del trattamento e che stipuli la materia disciplinata e la
    durata del trattamento, la natura e la finalità del trattamento, il tipo di dati
    personali e le categorie di interessati, gli obblighi e i diritti del titolare del
    trattamento».
    Il contratto — rispondente sostanzialmente alla categoria giuridica del
    “mandato” — deve tassativamente disciplinare almeno le materie riportate al
    par. 3 del citato articolo al fine di dimostrare che il responsabile fornisca
    garanzie sufficienti, tra cui in particolare “…la natura, durata e finalità del
    trattamento o dei trattamenti assegnati, le categorie di dati oggetto di
    trattamento, le misure tecniche organizzative adeguate a consentire il rispetto
    delle istruzioni impartite dal titolare e, in via generale, delle disposizioni
    contenute nel GDPR.
    Le garanzie sufficienti
    Come noto, il titolare deve ricorrere «solo a responsabili che forniscono
    garanzie sufficienti per l’implementazione delle misure tecniche e
    organizzative adeguate», dovendo prendere in considerazione:
    ● le conoscenze specialistiche del responsabile (come, ad esempio, le
    competenze tecniche in materia di misure di sicurezza e violazioni dei
    dati);
    ● l’affidabilità del responsabile;
    ● le risorse in suo possesso.
    Si tratta di un obbligo perenne nel senso di “continuo” che impone al titolare di
    valutare il rischio anche successivamente alla stipulazione del contratto,
    attraverso audit ad hoc da concordarsi ed effettuarsi direttamente presso il
    responsabile.
    Forma del contratto o altro atto giuridico
    Qualsiasi trattamento di dati personali da parte di un responsabile del
    trattamento deve essere disciplinato da un contratto o altro atto giuridico,
    conformemente all’art. 28, paragrafo 3, del GDPR.
    Non si tratta di un “mero formalismo”. Affatto, è un vero e proprio atto giuridico
    che deve essere per iscritto, anche in formato elettronico.
    La carenza, come vedremo in seguito, non solo espone in concreto le parti
    scoperte, ma anche renderebbe assai difficile dimostrare che il contratto o
    altro atto giuridico sia effettivamente in vigore, qualora l’accorda avvenisse
    sulla base di accordi verbali, non formalizzati per iscritto.
    Al fine di poter adempiere all’obbligo della stipula di un contratto, il titolare e il
    responsabile del trattamento possono scegliere di negoziarne uno proprio, ivi
    compresi tutti gli elementi obbligatori, o di basarsi, in tutto o in parte, su
    clausole contrattuali tipo in relazione agli obblighi di cui all’art. 28.
    L’EDPB desidera chiarire che non vi è alcun obbligo in capo ai titolari e ai
    responsabili del trattamento di stipulare un contratto basato su SCC né ciò
    deve necessariamente avere la precedenza rispetto alla stipula di un contratto
    ad hoc. Entrambe le opzioni sono ammissibili ai fini dell’adempimento alla
    normativa in materia di protezione dei dati, a seconda delle circostanze
    specifiche, purché siano soddisfatti i requisiti di cui all’articolo 28, paragrafo 3.
    Si tratta, in altri termini, di un accordo tra il titolare e il responsabile del
    trattamento tale da rispettare i requisiti tutti di cui all’art. 28 del GDPR, onde
    garantire che il responsabile tratti i dati personali in conformità con lo stesso
    (GDPR).
    Contenuto
    Il contratto (ex art. 28 GDPR) rappresenta uno strumento con cui il titolare e il
    responsabile del trattamento possono chiarire in che modo detti elementi
    saranno attuati mediante dettagliate istruzioni.
    Il contratto dovrebbe altresì tener conto «dei compiti e responsabilità specifici
    del responsabile del trattamento nel contesto del trattamento da eseguire e
    del rischio in relazione ai diritti e alle libertà dell’interessato».
    In linea generale, il contratto dovrebbe prevedere taluni elementi che possano
    aiutare il responsabile del trattamento a comprendere i rischi per i diritti e le
    libertà degli interessati insiti nel trattamento.
    Circa il contenuto obbligatorio del contratto o altro atto giuridico, occorre che
    vi sia:
    ● l’oggetto del trattamento (ad esempio, registrazioni di videosorveglianza
    di persone che entrano o escono da una struttura ad alta sicurezza);
    ● la durata del trattamento dovendo specificare il periodo di tempo esatto
    o i criteri utilizzati al fine di determinarlo;
    ● la natura del trattamento nel senso del tipo di operazioni eseguite
    nell’ambito del trattamento (come ad esempio: «ripresa»,
    «registrazione», «archiviazione di immagini» ecc.) e la finalità del
    trattamento, descrizione che — si caldeggia — sia quanto più chiara,
    precisa;
    ● la tipologia di dati personali da specificare nel modo più dettagliato
    possibile (come ad esempio: le immagini video delle persone che
    entrano ed escono dalla struttura);
    ● le categorie di interessati: anche questo aspetto dovrebbe essere
    indicato in modo piuttosto specifico (ad esempio: «visitatori»,
    «dipendenti», servizi di consegna ecc.);
    ● gli obblighi e i diritti del titolare del trattamento: circa i primi (gli obblighi)
    del titolare del trattamento, tra gli esempi figurano quello di fornire al
    responsabile del trattamento i dati di cui al contratto, di fornire e
    documentare qualsivoglia istruzione relativa al trattamento dei dati da
    parte del responsabile del trattamento, di garantire, prima e durante
    l’intero corso del trattamento, l’adempimento degli obblighi di cui al
    GDPR posti in capo al responsabile, di controllare detto trattamento
    anche mediante attività di revisione e ispezioni unitamente al suddetto
    responsabile.
    Forma
    Per quanto concerne la “forma”, si potrebbe dire che la stessa sia oggi
    concepita specie in questo contesto non tanto come un mero formalismo, ma
    come invece un atto formale necessario oltre che la “scatola” che contiene le
    possibili (e azionabili) tutele nei confronti di ambo le parti.
    Le clausole contrattuali tipo della Commissione
    europea
    La Commissione europea lo scorso 4 giugno del 2021 ha adottato le clausole
    contrattuali tipo per regolamentare i rapporti tra titolare e responsabile.
    É appena il caso di ricordare che qualsiasi modifica al DPA (data processing
    agreement) sopravvenuta e in costanza di rapporto contrattuale necessita di
    notifica al titolare, il quale dovrà approvarla con un atto di manifestazione di
    volontà concreto e attivo, non potendo la semplice pubblicazione sul sito web
    ovvero la mera comunicazione via e-mail sostituirne l’informazione e
    susseguente consapevole approvazione.
    Consulta le Clausole contrattuali standard adottate dalla Commissione
    europea sui rapporti tra titolare e responsabile
    Perché adeguarsi
    Le clausole contrattuali tipo sono caldamente consigliate per ovvie
    motivazioni, tra cui ne citiamo alcune soltanto.
    Innanzitutto, per il fatto che sono uscite in Gazzetta ufficiale europea,
    circostanza non così frequente.
    In secondo luogo, per evidenti ragioni di accountability. Teniamo a precisare
    che l’adeguamento a tale format è facoltativo, con la conseguenza tuttavia
    che in caso di utilizzo di altre (vecchie) matrici occorrerà un duplice sforzo, da
    un lato implementare gli allegati (in particolare quello sulle misure di
    sicurezza), e dall’altro motivare le ragioni dello scostamento, non sempre
    agevoli.
    Il ruolo da responsabile del trattamento
    Il ruolo del responsabile va definito senza ombra di dubbio in relazione al
    contesto.
    La regola generale prevede che il titolare del trattamento risponda della
    gestione effettuata dai responsabili (Considerando 81). Compito specifico del
    titolare è quello di valutare il rischio del trattamento.
    In ogni caso, il titolare deve sempre poter sindacare le decisioni dei
    responsabili, i quali per parte loro debbono essere in grado di fornire garanzie
    al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento
    dei dati personali, nonché di garantire la tutela dei diritti dell’interessato, al
    centro di tutto il GDPR.
    Il responsabile del trattamento di oggi, secondo l’EDPB (7/2020)
    Il ruolo del responsabile del trattamento di cui al regolamento europeo, oggi, è
    pacificamente riservato ad un soggetto esterno all’Organizzazione, specie con
    riferimento ai fornitori di servizi.
    Il responsabile del trattamento tratta i dati attenendosi alle istruzioni impartite
    dal titolare, si assume responsabilità proprie e ne risponde alle competenti
    autorità.
    La “scomparsa” dei Responsabili interni, di ieri
    Come anticipato, in principio, il vecchio Codice Privacy prevedeva già il
    responsabile del trattamento cd interno. Tuttavia, l’accezione data in allora
    appare totalmente differente a quella che si vuole attribuire oggi.
    I rapporti tra responsabile e titolare
    Una “novità” introdotta dal GDPR è data dalle disposizioni impositive
    particolari obblighi ai responsabili del trattamento, come ad esempio, la
    garanzia che gli autorizzati si siano impegnate alla riservatezza, oppure la
    tenuta di un registro di tutte le categorie di attività relative al trattamento,
    l’attuazione di misure tecniche e organizzative adeguate, eccetera.
    La scelta del responsabile: criteri e procedure
    Il titolare del trattamento deve impiegare «unicamente responsabili del
    trattamento che presentino garanzie sufficienti per mettere in atto misure
    tecniche e organizzative adeguate», affinché il trattamento ora soddisfi i
    requisiti del GDPR anche in merito alla sicurezza, ora garantisca la tutela dei
    diritti degli interessati.
    Le garanzie «presentate» dal responsabile del trattamento sono le stesse che
    il medesimo è in grado di dimostrare in modo soddisfacente al titolare del
    trattamento.
    Sovente, ciò richiederà un talvolta copioso scambio di documentazione
    pertinente, come ad esempio, la policy di accountability, le condizioni di
    erogazione del servizio, il registro delle attività di trattamento, i meccanismi di
    gestione dei log, politica in materia di sicurezza delle informazioni, ove
    presente, meglio se rispondente ai parametri della “famiglia” delle ISO 27000.
    L’obbligo di impiegare solo responsabili del trattamento ad hoc, per il tramite
    di procedure specifiche sul tema confezionate, rappresenta un obbligo
    permanente.
    I responsabili e i sub-responsabili, tra rapporti e
    obblighi
    Non è infrequente che un trattamento di dati personali coinvolga più soggetti
    definibili ai sensi dell’art. 28 GDPR “responsabili”.
    Ma non è tutto. Anzi, spesso accade che un titolare del trattamento si avvalga
    di un solo responsabile del trattamento il quale, a sua volta, previa
    autorizzazione generale o specifica prestata dal titolare medesimo, utilizzi uno
    o più responsabili del trattamento cd “subresponsabili”.
    Questi ultimi sono soggetti che assumono, a loro volta, il ruolo di responsabile
    nei confronti di altro responsabile, come ad esempio in caso di subappalto o
    subfornitura e per conseguenza anche delle attività di trattamento, per conto
    del titolare.
    L’autorizzazione può essere generale ovvero specifica.
    Anche all’eventuale sub-responsabile dovranno essere fornite le istruzioni,
    dovendo anche egli operare nel pieno rispetto degli obblighi imposti al primo
    responsabile del trattamento, oltre a dover fornire le garanzie sufficienti
    previste dall’art. 28 GDPR (par. 3), proprio come il responsabile nei confronti
    del titolare. Dette garanzie, al pari delle altre, dovranno essere
    contrattualizzate.
    Senza tuttavia dimenticare che resta sempre e comunque il primo/principale
    responsabile a rispondere dell’eventuale inadempimento dei successivi
    sub-responsabili, anche ai fini del risarcimento di eventuali danni causati dal
    trattamento, nei confronti del titolare, salva la prova di cui all’art. 1218 c.c.
    La catena di controllo
    L’affidamento all’esterno di trattamenti, come appare intuitivo, genera una
    ‘filiera’ di attività più o meno complessa in relazione al numero dei soggetti
    partecipanti (responsabili e sub-responsabili del trattamento).
    Allo stato attuale la gestione conforme della filiera dei responsabili e sub è
    ancora molto frammentata, nonostante il quinquennio comunque trascorso.
    Senza contare che spesse volte è dato riscontrare, specie all’interno di realtà
    importanti/grandi difetta spesso una sinergia tra il team privacy interno e il
    procurement.
    In tema di filiera dei trattamenti, (soltanto) la CNIL ha ritenuto consentita la
    riutilizzazione dei dati personali trattati per conto del titolare del trattamento da
    parte di un responsabile e per finalità proprie di quest’ultimo.
    I diversi obblighi del responsabile del trattamento
    Il responsabile ha, in questa (nuova) veste, diversi obblighi.
    Anzitutto, ha l’onere di tenere un registro delle attività di trattamento.
    In secondo luogo, egli ha l’obbligo di garantire la sicurezza dei dati, adottando
    tutte le misure di sicurezza adeguate al rischio (art. 32 GDPR).
    Inoltre, il responsabile ha l’obbligo di avvisare, assistere e consigliare il
    titolare. Dovrà, quindi, consentire e contribuire alle attività di revisione,
    comprese gli audit, da previamente concordare.
    Per completezza, diciamo ancora che l’art.27 GDPR precedente prevede che
    il responsabile del trattamento debba designare per iscritto un
    Rappresentante nell’Unione nel caso in cui si occupi del «trattamento dei dati
    personali di interessati che si trovano nell’Unione, effettuato da un titolare del
    trattamento o da un responsabile del trattamento che non è stabilito
    nell’Unione, quando le attività di trattamento riguardano: (C23, C24) a) l’offerta
    di beni o la prestazione di servizi ai suddetti interessati nell’Unione,
    indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
    oppure b) il monitoraggio del loro comportamento nella misura in cui tale
    comportamento ha luogo all’interno dell’Unione».
    Siffatto obbligo non sussiste solo e nella misura in cui il trattamento sia
    occasionale e non inclusivo quello su larga scala di categorie particolari di dati
    di cui all’art. 9, par. 1, o di dati personali relativi a condanne penali e a reati di
    cui all’art. 10. Mentre, non si applica per nulla alle autorità pubbliche o agli
    organismi pubblici.
    Obbligo di assistenza al titolare del trattamento
    Il responsabile è tenuto a fornire tutta l’assistenza richiesta dal titolare del
    trattamento.
    Il tipo e il grado di assistenza che il responsabile del trattamento è tenuto a
    fornire possono, con tutta evidenza, variare notevolmente «tenendo conto
    della natura del trattamento e delle informazioni a disposizione del
    responsabile del trattamento».
    Per converso, il titolare è tenuto a informare in maniera adeguata il
    responsabile del trattamento circa i rischi di quest’ultimo e a qualsiasi altra
    circostanza tale da poter aiutare il responsabile del trattamento a svolgere i
    propri compiti.
    Tra gli obblighi specifici di assistenza (al titolare) rientra l’assistenza in caso di
    data breach.
    Il responsabile del trattamento deve assistere il titolare nell’adempimento
    dell’obbligo di notificare le violazioni dei dati personali all’autorità di controllo e
    agli interessati. In base alle caratteristiche specifiche del trattamento affidato
    al responsabile, è d’uopo stabilire all’interno del contratto ex art. 28 un lasso di
    tempo specifico (ad esempio, il numero di ore) entro il quale il responsabile
    del trattamento deve informare il titolare. Generalmente si indicano 24, 36 ore
    in considerazione delle 72 ore che il titolare del trattamento ha a disposizione
    per notificare ex art. 33 GDPR una volta accertato che si sia in presenza non
    di un semplice incidente di sicurezza, ma di un vero e proprio data breach.
    Obbligo di cancellazione/restituzione dei dati, su richiesta-scelta
    del titolare
    Al responsabile incombe poi un altro compito, quello cioè di cancellare e
    quindi restituire i dati, circostanza da doversi specificare nel contratto.
    Qualora il titolare del trattamento dovesse scegliere di cancellare i dati
    personali, il responsabile del trattamento è tenuto a garantire che la
    cancellazione sia effettuata in un modo sicuro e conforme ai parametri di cui
    all’art. 32, fornendone prova purché questa non si annoveri tra le probatio
    diabolica.
    Il tutto si lega anche a un altro tema fondamentale del GDPR, vale a dire la
    conservazione; per quanto il responsabile del trattamento debba comunque
    cancellare tutte le copie esistenti dei dati, salvo che il diritto dell’UE o degli
    Stati membri non preveda un’ulteriore conservazione.
    Obbligo di mettere a disposizione del titolare tutte le informazioni
    necessarie
    Il contratto deve prevedere poi disposizioni dettagliate sulla frequenza e
    modalità del flusso di informazioni tra il responsabile e il titolare del
    trattamento, in modo tale che il titolare del trattamento sia pienamente
    informato in merito a quegli elementi del trattamento atti a dimostrare il
    rispetto degli obblighi di cui all’articolo 28 del GDPR.
    Le parti dovrebbero cooperare in buona fede e valutare se e quando sia
    necessario effettuare attività di revisione presso il responsabile del trattamento
    nonché quale tipo di revisione o ispezione (a distanza/in loco/secondo altre
    modalità utili per raccogliere le informazioni necessarie) sia necessario e
    appropriato nel caso di specie, tenendo conto altresì delle questioni in materia
    di sicurezza; la scelta finale in merito spetta al titolare del trattamento.
    Analogamente, dovrebbero essere stabilite procedure specifiche per quanto
    riguarda l’ispezione dei sub-responsabili del trattamento da parte del
    responsabile e del titolare.
    Obbligo di assistere il titolare nelle richieste di esercizio dei diritti
    Pur stipulando che dare seguito alle richieste degli interessati sia di
    competenza del titolare del trattamento, il contratto deve prevedere che il
    responsabile del trattamento abbia l’obbligo di fornire assistenza «con misure
    tecniche e organizzative adeguate, nella misura in cui ciò sia possibile». La
    natura di tale assistenza può variare notevolmente «tenendo conto della
    natura del trattamento» e a seconda del tipo di attività affidata al responsabile.
    I dettagli relativi all’assistenza che il responsabile del trattamento è tenuto a
    fornire dovrebbero essere previsti nel contratto o in un suo allegato.
    Mentre l’assistenza in questione può consistere semplicemente nel
    trasmettere tempestivamente qualsiasi richiesta ricevuta e/o nel consentire al
    titolare del trattamento di estrarre e gestire direttamente i dati personali
    pertinenti, in talune circostanze al responsabile saranno affidati compiti tecnici
    più specifici, in particolare laddove sia in grado di estrarre e gestire i dati
    personali.
    È fondamentale tenere presente che, sebbene la gestione pratica delle
    singole richieste possa essere esternalizzata al responsabile del trattamento,
    è al titolare che spetta soddisfarle. Pertanto, la valutazione dell’ammissibilità
    delle richieste degli interessati e/o del rispetto dei requisiti di cui al GDPR
    dovrebbe essere effettuata dal titolare del trattamento, caso per caso o
    mediante istruzioni chiare fornite al responsabile per mezzo del contratto
    prima dell’inizio del trattamento. Inoltre, i termini di cui al capo III non possono
    essere prorogati dal titolare sulla base del fatto che le informazioni necessarie
    devono essere fornite dal responsabile del trattamento.
    Le istruzioni date dal titolare al responsabile, tenuto ad attenersi
    Il titolare del trattamento deve fornire al responsabile “istruzioni” relative a
    ciascuna attività di trattamento. Il responsabile si limita a quanto disposto dal
    titolare del trattamento, ma ha la possibilità di suggerire elementi che, se
    accettati dal titolare del trattamento, diventano parte delle istruzioni impartite.
    Le istruzioni impartite dal titolare del trattamento devono essere documentate.
    A tal fine, come scrive l’EDPD «si raccomanda di prevedere una procedura e
    un modello per fornire ulteriori istruzioni attraverso un allegato al contratto o
    altro atto giuridico. In alternativa, le istruzioni possono essere impartite in
    qualsiasi forma scritta (ad esempio per posta elettronica) e in qualsivoglia
    altra forma documentata, purché sia possibile documentarle. In ogni caso, per
    evitare difficoltà nel dimostrare che le istruzioni del titolare del trattamento
    sono state debitamente documentate, l’EDPB raccomanda di accorpare tali
    istruzioni al contratto o al diverso atto giuridico».
    Le misure in capo ai responsabili secondo la ISO/IEC 27001:2013 e la
    ISO/IEC 27701:2019
    Il noto e famoso art. 32 del GDPR, in pratica sulle misure di sicurezza, impone
    al titolare e al responsabile del trattamento di mettere in atto misure tecniche e
    organizzative di sicurezza adeguate.
    Con riferimento all’obbligo in capo al responsabile del trattamento di ottenere
    l’approvazione del titolare del trattamento prima di apportare eventuali
    modifiche risiede essenzialmente in un riesame periodico delle misure di
    sicurezza, onde garantirne l’adeguatezza rispetto ai rischi, variabile nel tempo.
    Il responsabile del trattamento in funzione di
    amministratore di sistema
    Il GDPR non prevede espressamente la figura dell’amministratore di sistema,
    come noto.
    É il Garante italiano (nella fattispecie l’illustre Prof. Pizzetti) che nel famoso
    provvedimento sugli amministratori di sistema del 2008 (poi modificato il 26
    giugno 2009) definisce l’amministratore di sistema” (cd AdS), in ambito
    informatico, «…la figura professionale finalizzate alla gestione e alla
    manutenzione di un impianto di elaborazione o di sue componenti, facendo
    però rientrare in essa anche le altre figure equiparabili dal punto di vista dei
    rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli
    amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi
    software complessi».
    La mancata espressa citazione all’interno del GDPR, come per altro (e ci
    riferiamo agli illeciti penali), non significa che tale figura sia sparita. Niente
    affatto.
    Ricordiamo che l’amministratore di sistema è un ruolo operativo,
    fondamentale per la sicurezza dei sistemi informatici e telematici e delle
    banche dati, e quindi con specifiche competenze tecniche, al quale è affidato
    il compito della gestione di tali sistemi, autorizzando altri soggetti (sempre in
    base alle istruzioni ricevute) all’accesso ai sistemi (ad es. registrazione degli
    accessi logici, accessi logici separati, ecc.), oltre al compito di vigilare
    sull’utilizzo dei sistemi.
    É chiaro ed evidente che, qualora tale ruolo venga esternalizzato,
    l’amministratore di sistema sarà un responsabile del trattamento.
    Una possibile formula che si potrebbe suggerire da inserire nel contratto ex
    art. 28 potrebbe essere del seguente tenore: «qualora i compiti assegnati al
    Responsabile, le funzioni da esso svolte e le attività di trattamento dei dati
    personali condotte entro il proprio ambito, dovessero prevedere la gestione e
    la manutenzione di impianti di elaborazione di proprietà del Titolare, il
    Responsabile dovrà provvedere ad individuare, selezionare ed elencare il
    personale adibito a questa funzione, garantendone altresì la valutazione, la
    designazione e l’elencazione, secondo quanto stabilito dal provvedimento
    sugli amministratori di sistema.»
    Un caso specifico e gli esempi del Board
    Illustriamo ora, di seguito, un caso di specie e, poi, riportiamo talquali gli
    esempi che l’EDPB ha individuato e commentato nella linea guida 7/2020.
    Il servizio di web hosting
    Il servizio di web hosting è giuridicamente il responsabile del trattamento dei
    dati rispetto al gestore del sito web, poiché detto servizio elabora i dati per
    conto del titolare (cioè il cliente). Da qui, la necessità di un contratto tra titolare
    e web hosting, precisandone bene i termini tra cui le misure di sicurezza
    (tecniche e organizzative) da mettere in atto, adeguate al rischio valutato.
    L’hosting dal canto suo dovrà attenersi alle istruzioni impartitegli e di cui al
    contratto, pur rimanendo una qual certa discrezionalità, ad esempio nella
    scelta degli strumenti tecnici ed organizzativi più idonei.
    L’hosting dovrà tenere per bene il registro dei trattamenti effettuati per conto
    del cliente (titolare), secondo le forme e modalità di cui all’art. 30 del GDPR,
    cui si rinvia.
    Pacificamente, da ultimo corre d’obbligo precisare che il web hosting è
    responsabile del trattamento con riferimento ai soli trattamenti realizzati per
    conto del gestore del sito (quale titolare), cliente dell’hosting.
    Gli esempi dell’EDPB
    Riportiamo nella tabella che segue gli esempi che il Board riporta,
    testualmente.
    ESEMPI PROSPETTATI
    Servizio
    di taxi
    Un servizio di taxi offre una piattaforma online che consente alle società di
    prenotare un taxi per trasportare dipendenti o ospiti da e verso l’aeroporto. Al
    momento della prenotazione di un taxi, la società ABC specifica il nome del
    dipendente che dovrebbe essere prelevato dall’aeroporto in modo che il
    conducente possa verificarne l’identità all’arrivo. In questo caso, il servizio taxi
    tratta i dati personali del dipendente nell’ambito del servizio prestato alla
    società ABC, ma il trattamento in quanto tale non è l’obiettivo del servizio. Il
    servizio taxi ha concepito la piattaforma di prenotazione online come parte
    dello sviluppo della propria attività commerciale per fornire servizi di trasporto,
    senza alcuna istruzione da parte della società ABC. Il servizio taxi determina
    inoltre in modo indipendente le categorie dei dati raccolti e la durata
    dell’archiviazione. Il servizio agisce quindi in quanto titolare del trattamento
    pienamente autonomo, malgrado il fatto che il trattamento dei dati ha luogo a
    seguito di una richiesta di prestazione del servizio da parte della società ABC.
    L’EDPB osserva che un fornitore di servizi può comunque agire come responsabile
    del trattamento anche laddove il trattamento dei dati personali non sia l’oggetto
    principale o primario del servizio, a condizione che, nella pratica, il cliente del
    servizio continui a determinarne le finalità e i mezzi. Nel decidere se affidare o
    meno il trattamento dei dati personali a un determinato prestatore di servizi, i
    titolari del trattamento dovrebbero valutare attentamente se il prestatore dei servizi
    in questione consenta loro di esercitare un livello di controllo sufficiente, tenendo
    conto della natura, dell’ambito di applicazione, del contesto e delle finalità del
    trattamento, nonché dei rischi potenziali per gli interessati.
    Call
    center
    La società X esternalizza l’assistenza al cliente alla società Y, che mette a
    disposizione un call center per agevolare le risposte ai clienti della società X. La
    fornitura del servizio di assistenza clienti implica che la società Y abbia accesso
    alle banche dati relative ai clienti della società X. La società Y può accedere ai
    dati solo per fornire l’assistenza che la società X ha acquistato e non può
    trattare i dati per finalità diverse da quelle dichiarate dalla società X. La società
    Y deve essere considerata responsabile del trattamento dei dati personali e tra
    la società X e la Y deve essere concluso un accordo di trattamento.
    Servizi
    informat
    ici
    generali
    La società Z si rivolge a un fornitore di servizi informatici per la manutenzione
    generale dei propri sistemi informatici che contengono una grande quantità di
    dati personali. L’accesso ai dati personali non è l’oggetto principale del servizio
    di assistenza, ma è inevitabile che il fornitore di servizi informatici vi abbia
    sistematicamente accesso durante la fornitura del servizio. La società Z
    desume pertanto che il fornitore di servizi informatici, essendo una società
    distinta che inevitabilmente è tenuta a trattare dati personali, anche se questo
    non è l’obiettivo principale del servizio, debba essere considerata responsabile
    del trattamento. Un accordo di trattamento è pertanto concluso con il fornitore
    di servizi informatici.
    Consule
    nte
    informat
    ico che
    risolve
    un
    problem
    a di
    software
    La società ABC si rivolge a uno specialista informatico di un’altra società per
    risolvere un «bug» in un proprio software. Il consulente informatico non è
    ingaggiato per trattare dati personali e la società ABC stabilisce che l’accesso a
    tali dati sarà puramente accessorio e, pertanto, estremamente limitato nella
    pratica. La società ABC conclude pertanto che lo specialista informatico non sia
    responsabile del trattamento (né un autonomo titolare del trattamento) e decide
    di adottare misure adeguate, a norma dell’articolo 32 del GDPR, al fine di
    impedirgli di trattare i dati personali in modo non autorizzato.
  11. Come indicato in precedenza, nulla osta a che un responsabile del trattamento
    offra un servizio secondo caratteristiche predeterminate, ma il titolare deve
    prendere la decisione finale di approvare attivamente le modalità di esecuzione del
    trattamento, almeno per quanto concerne i mezzi essenziali
    dello stesso. Come detto, un responsabile del trattamento dispone di un margine
    di manovra per quanto riguarda i mezzi non essenziali (cfr. la sottosezione 2.1.4).
    Fornitore
    di servizi
    cloud
    Un comune ha deciso di utilizzare un fornitore di servizi cloud per la gestione
    delle informazioni nei propri servizi scolastici e di istruzione. Il servizio cloud
    fornisce servizi di messaggistica, videoconferenze, archiviazione di documenti,
    gestione del calendario, trattamento testi, ecc. e ciò comporterà il trattamento
    di dati personali relativi agli alunni e agli insegnanti. Il fornitore di servizi cloud
    ha proposto un servizio standardizzato, offerto a livello mondiale. Il comune
    deve comunque assicurarsi che l’accordo in vigore sia conforme all’articolo 28,
    paragrafo 3, del GDPR, e che i dati personali di cui è titolare siano trattati
    esclusivamente per le proprie finalità. Deve inoltre assicurarsi che le sue
    istruzioni specifiche, concernenti per esempio i periodi di archiviazione, la
    cancellazione dei dati ecc. siano rispettate dal fornitore di servizi cloud,
    indipendentemente da quanto previsto in via generale dal servizio
    standardizzato.
    Le responsabilità e il ristoro degli eventuali danni
    Il responsabile del trattamento può essere ritenuto sì responsabile e quindi
    sanzionabile (ex artt. 82 e 83) in caso di inadempimento degli anzidetti
    obblighi ovvero nel caso in cui agisca al di fuori o in contrasto con le istruzioni
    impartite dal titolare del trattamento.
    Le condotte che non siano conformi al GDPR dal momento che determinano
    finalità e mezzi del trattamento — agendo in pratica nella qualità di un vero e
    proprio titolare —sortiscono proprio l’effetto di qualificare de plano il
    responsabile quale titolare “ipso iure” del trattamento.
    In termini di ripartizione delle responsabilità, in presenza di più titolari o
    responsabili coinvolti nello stesso trattamento e, accertato che siano tutte
    responsabili del danno cagionato, ne risponderanno in solido per l’intero
    danno, con quanto per conseguenza (diritto di rivalsa e azione di regresso).
    Il titolare e il responsabile sono invece esonerati da responsabilità qualora
    riescano a dimostrare che l’evento dannoso non sia a loro imputabile,
    secondo i meccanismi squisitamente civilistici (art. 1218 cc e ss).
    Di certo, un dato è indiscutibile: nel nuovo impianto dettato dal GDPR, proprio
    in virtù del principio di accountability, non è contemplata né contemplabile uno
    “scarico” di responsabilità su qualche altro soggetto/attore/protagonista del
    Regolamento.
    Le sanzioni in Italia per mancata regolarizzazione tra
    titolare e responsabile
    La violazione, tra gli altri, dell’art. 28 determina ipso facto, in caso di verifica
    (dettata da segnalazione/reclamo/data breach/ visita ispettiva) l’irrogazione di
    sanzioni amministrative pecuniarie di cui al primo scaglione, vale a dire fino a
    10 milioni di euro oppure, per le imprese, al 2% del fatturato mondiale annuo
    dell’esercizio precedente, se superiore, come da disposto di cui all’art. 83.
    Al riguardo, citiamo il provvedimento (ordinanza – ingiunzione) emesso lo
    scorso settembre 2021 nei confronti di Roma capitale, eloquente in tal senso,
    e nella fattispecie con riferimento alla carenza dell’art. 28 afferma chiaramente
    che, con riferimento alla “…mancata definizione del ruolo dei soggetti esterni
    coinvolti nel trattamento” il Garante scrive testualmente al punto 3.3.:
    «Ai fini del rispetto della normativa in materia di protezione dei dati personali,
    occorre identificare con precisione i soggetti che, a diverso titolo, possono
    trattare i dati personali e definire chiaramente le rispettive attribuzioni, in
    particolare quella di titolare e di responsabile del trattamento e dei soggetti
    che operano sotto la diretta responsabilità di questi (art. 4, par. 1, punto 7 del
    Regolamento).
    Come già chiarito precedentemente dal Garante, il titolare, nel caso di specie
    Roma Capitale, è il soggetto sul quale ricadono le decisioni circa le finalità e le
    modalità del trattamento dei dati personali degli interessati nonché una
    “responsabilità generale” sui trattamenti posti in essere (v. art. 5, par. 2 c.d.
    “accountability” e 24 del Regolamento), anche quando questi siano effettuati
    da altri soggetti “per suo conto” (cons. 81, artt. 4, punto 8) e 28 del
    Regolamento; cfr. anche provvedimento n. 81 del 7 marzo 2019, doc. web
    9121890; provvedimento n. 160 del 17 settembre 2020, doc. web 9461168).
    Il rapporto tra titolare e responsabile deve essere regolato da un contratto o
    da altro atto giuridico, stipulato per iscritto che, oltre a vincolare
    reciprocamente le due figure, consente al titolare di impartire istruzioni al
    responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la
    durata, la natura e le finalità del trattamento, il tipo di dati personali e le
    categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del
    trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su
    istruzione documentata del titolare” (art. 28, par. 3, lett. a) del Regolamento).
    Il Regolamento ha disciplinato anche gli obblighi e le altre forme di
    cooperazione cui è tenuto il responsabile del trattamento quando agisce per
    conto del titolare e l’ambito delle rispettive responsabilità (v. artt. 30, 33, par. 2
    e 82 del Regolamento).
    Omissis
    La mancata definizione del rapporto con i soggetti esterni coinvolti nel
    trattamento, – ferme restando le valutazioni in ordine alla liceità del
    trattamento svolto dalle società, che saranno oggetto di autonomi
    procedimenti – ha comportato la violazione dell’art. 28 del Regolamento da
    parte di Roma Capitale.
    Altri casi ancora e in chiusura, ponendo uno sguardo sulla compliance se
    pensiamo a “B&T-Dorelan”, “Enel Energia” e “Google analytics vs. DSB” ci
    narrano di situazioni che danno luogo a filiere di trattamenti la cui compliance
    alla disciplina del trattamento dei dati personali – quale che sia la loro
    complessità – ricade comunque sotto la “responsabilità generale” del titolare
    del trattamento.
    Pertanto, nella prospettiva dei Garanti, per il vero, l’esternalizzazione dei
    trattamenti implica il controllo della filiera da essa generata, che va
    implementato attraverso misure tecniche e organizzative (con modelli
    organizzativi).
    Con tutta evidenza, l’assenza di controllo, come desumibile dai due casi sopra
    citati (Dorelan ed Enel energia) non può non avere ricadute sugli interessati
    ed in particolare sui lori diritti all’informativa, all’azionabilità dei diritti tutti,
    nonché alla violazione dei dati potenziali data breach.
    fonte: AGENDA DIGITALE

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.