Responsabile del trattamento, chi è e cosa fa: tutto quello che c’è da sapere
A quasi sei anni dall’entrata in vigore del Regolamento europeo sulla protezione dei dati, molte organizzazioni risultano ancora incerte sulla corretta qualificazione giuridica del responsabile del trattamento. Esaminiamone nel dettaglio caratteristiche, obblighi e funzioni di Chiara Ponti Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Baccalaureata Il responsabile del trattamento è una delle figure centrali del GDPR ma, a sei anni dall’entrata in vigore del Regolamento europeo per la protezione dei dati (Regolamento UE 2016/679) e a 4 anni dalla sua attuazione sono ancora molti i dubbi su quali siano le caratteristiche, il ruolo, i rapporti con un’altra figura apicale del corpus normativo: il titolare del trattamento. Per quanto, come vedremo in seguito, non si tratti di una “novità” del GDPR quest’ultimo ha, senza dubbio, fissato più dettagliatamente (rispetto al Codice Privacy) le caratteristiche dell’atto con cui il titolare è chiamato a designare un responsabile del trattamento attribuendogli specifici compiti, ai sensi e per gli effetti di cui all’art. 28. Il responsabile del trattamento, chi è costui Il responsabile del trattamento (“data processor”) nel GDPR è definito all’art. 4, par. 1, n. 8) come “la persona fisica, giuridica, PA o ente che elabora i dati personali per conto del titolare del trattamento”. Le condizioni essenziali che qualificano un soggetto come responsabile sono date da un lato dalla distinzione totalizzante rispetto al titolare (“data controller”), e dall’altro in forza della elaborazione dei dati per conto di quest’ultimo. Il responsabile del trattamento deve avere una competenza qualificata e garantire una particolare affidabilità oltre a disporre di risorse tecniche adeguate all’attuazione degli obblighi derivanti dal contratto di designazione nonché dalle norme in materia di protezione dei dati. Responsabili del trattamento, la condizione essenziale Per (poter) essere qualificati responsabili del trattamento occorre che il trattamento di dati personali avvenga “per conto” del titolare, nel senso che il soggetto distinto tratti i dati personali a beneficio del titolare del trattamento, senza tuttavia agire sotto l’autorità o controllo diretto del medesimo. Nell’ambito della materia di protezione dati agire “per conto di” significa che il responsabile del trattamento non può effettuare trattamenti per proprie finalità. Finalità e mezzi che debbono essere sempre (e solo) stabiliti dal titolare del trattamento. Il responsabile del trattamento nel GDPR nel corposo testuale art. 28 Nel GDPR il responsabile del trattamento trova una collocazione sistematica ben precisa: al corposo art. 28 il quale consta di numerosi paragrafi, che riportiamo testualmente
Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.
Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.
I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento: a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico; b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; c) adotti tutte le misure richieste ai sensi dell’articolo 32; d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento; e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III; f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento; g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.
Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.
L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.
Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.
La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.
Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63.
Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.
Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione. Il responsabile del trattamento prima del Gdpr La figura del responsabile del trattamento, come si è anticipato, non nasce affatto con il GDPR. Semmai assume una veste nuova. Ex Ante GDPR (“ex” art. 30 D.lgs 196/2003) Stando alle fonti, e facendo una breve ricognizione normativa, vediamo come il Codice della Privacy (ante armonizzazione post GDPR) prevedeva all’art. 29 oggi abrogato che il responsabile fosse designato dal titolare facoltativamente. Qualora designato, il responsabile veniva «…individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.» Ancora, «3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti. 4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.» Non solo, già nella disciplina ex ante, «…il titolare poteva avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualità di responsabili del trattamento, forniscano le garanzie […].» Da ultimo, quanto alla regolarizzazione del rapporto titolare-responsabile, era previsto che i primi stipulassero con i secondi «…atti giuridici in forma scritta […] specifican(d)o la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento». Per concludere con il comma 5 a mente del quale «Il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma 4-bis e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle proprie istruzioni e di quanto stabilito negli atti di cui al comma 4-bis.» Con l’avvento del GDPR (art. 28 Reg. UE 2016/679) Con l’avvento del GDPR il responsabile del trattamento assume una veste diversa. Esso non differisce tanto nella definizione di cui all’art. 4, par. 1, n. 8, come possiamo notare, venendo definito quale «…persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento». Quanto piuttosto negli obblighi direttamente e specificamente applicabili ai responsabili del trattamento, come avremo modo di argomentare in seguito. Nel merito, l’attività che viene affidata al responsabile del trattamento può accadere almeno un paio di scenari secondo i quali essa può essere: ● limitata a un compito o a un contesto molto specifico; ● di natura più generale e ampia. Il contratto del responsabile del trattamento Il titolare del trattamento ha la facoltà di scegliere se avvalersi o meno di responsabili del trattamento esternalizzando il servizio di trattamento dati. In conformità all’art. 28 i trattamenti del responsabile debbono essere «disciplinati da un contratto o altro atto giuridico che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento». Il contratto — rispondente sostanzialmente alla categoria giuridica del “mandato” — deve tassativamente disciplinare almeno le materie riportate al par. 3 del citato articolo al fine di dimostrare che il responsabile fornisca garanzie sufficienti, tra cui in particolare “…la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel GDPR. Le garanzie sufficienti Come noto, il titolare deve ricorrere «solo a responsabili che forniscono garanzie sufficienti per l’implementazione delle misure tecniche e organizzative adeguate», dovendo prendere in considerazione: ● le conoscenze specialistiche del responsabile (come, ad esempio, le competenze tecniche in materia di misure di sicurezza e violazioni dei dati); ● l’affidabilità del responsabile; ● le risorse in suo possesso. Si tratta di un obbligo perenne nel senso di “continuo” che impone al titolare di valutare il rischio anche successivamente alla stipulazione del contratto, attraverso audit ad hoc da concordarsi ed effettuarsi direttamente presso il responsabile. Forma del contratto o altro atto giuridico Qualsiasi trattamento di dati personali da parte di un responsabile del trattamento deve essere disciplinato da un contratto o altro atto giuridico, conformemente all’art. 28, paragrafo 3, del GDPR. Non si tratta di un “mero formalismo”. Affatto, è un vero e proprio atto giuridico che deve essere per iscritto, anche in formato elettronico. La carenza, come vedremo in seguito, non solo espone in concreto le parti scoperte, ma anche renderebbe assai difficile dimostrare che il contratto o altro atto giuridico sia effettivamente in vigore, qualora l’accorda avvenisse sulla base di accordi verbali, non formalizzati per iscritto. Al fine di poter adempiere all’obbligo della stipula di un contratto, il titolare e il responsabile del trattamento possono scegliere di negoziarne uno proprio, ivi compresi tutti gli elementi obbligatori, o di basarsi, in tutto o in parte, su clausole contrattuali tipo in relazione agli obblighi di cui all’art. 28. L’EDPB desidera chiarire che non vi è alcun obbligo in capo ai titolari e ai responsabili del trattamento di stipulare un contratto basato su SCC né ciò deve necessariamente avere la precedenza rispetto alla stipula di un contratto ad hoc. Entrambe le opzioni sono ammissibili ai fini dell’adempimento alla normativa in materia di protezione dei dati, a seconda delle circostanze specifiche, purché siano soddisfatti i requisiti di cui all’articolo 28, paragrafo 3. Si tratta, in altri termini, di un accordo tra il titolare e il responsabile del trattamento tale da rispettare i requisiti tutti di cui all’art. 28 del GDPR, onde garantire che il responsabile tratti i dati personali in conformità con lo stesso (GDPR). Contenuto Il contratto (ex art. 28 GDPR) rappresenta uno strumento con cui il titolare e il responsabile del trattamento possono chiarire in che modo detti elementi saranno attuati mediante dettagliate istruzioni. Il contratto dovrebbe altresì tener conto «dei compiti e responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato». In linea generale, il contratto dovrebbe prevedere taluni elementi che possano aiutare il responsabile del trattamento a comprendere i rischi per i diritti e le libertà degli interessati insiti nel trattamento. Circa il contenuto obbligatorio del contratto o altro atto giuridico, occorre che vi sia: ● l’oggetto del trattamento (ad esempio, registrazioni di videosorveglianza di persone che entrano o escono da una struttura ad alta sicurezza); ● la durata del trattamento dovendo specificare il periodo di tempo esatto o i criteri utilizzati al fine di determinarlo; ● la natura del trattamento nel senso del tipo di operazioni eseguite nell’ambito del trattamento (come ad esempio: «ripresa», «registrazione», «archiviazione di immagini» ecc.) e la finalità del trattamento, descrizione che — si caldeggia — sia quanto più chiara, precisa; ● la tipologia di dati personali da specificare nel modo più dettagliato possibile (come ad esempio: le immagini video delle persone che entrano ed escono dalla struttura); ● le categorie di interessati: anche questo aspetto dovrebbe essere indicato in modo piuttosto specifico (ad esempio: «visitatori», «dipendenti», servizi di consegna ecc.); ● gli obblighi e i diritti del titolare del trattamento: circa i primi (gli obblighi) del titolare del trattamento, tra gli esempi figurano quello di fornire al responsabile del trattamento i dati di cui al contratto, di fornire e documentare qualsivoglia istruzione relativa al trattamento dei dati da parte del responsabile del trattamento, di garantire, prima e durante l’intero corso del trattamento, l’adempimento degli obblighi di cui al GDPR posti in capo al responsabile, di controllare detto trattamento anche mediante attività di revisione e ispezioni unitamente al suddetto responsabile. Forma Per quanto concerne la “forma”, si potrebbe dire che la stessa sia oggi concepita specie in questo contesto non tanto come un mero formalismo, ma come invece un atto formale necessario oltre che la “scatola” che contiene le possibili (e azionabili) tutele nei confronti di ambo le parti. Le clausole contrattuali tipo della Commissione europea La Commissione europea lo scorso 4 giugno del 2021 ha adottato le clausole contrattuali tipo per regolamentare i rapporti tra titolare e responsabile. É appena il caso di ricordare che qualsiasi modifica al DPA (data processing agreement) sopravvenuta e in costanza di rapporto contrattuale necessita di notifica al titolare, il quale dovrà approvarla con un atto di manifestazione di volontà concreto e attivo, non potendo la semplice pubblicazione sul sito web ovvero la mera comunicazione via e-mail sostituirne l’informazione e susseguente consapevole approvazione. Consulta le Clausole contrattuali standard adottate dalla Commissione europea sui rapporti tra titolare e responsabile Perché adeguarsi Le clausole contrattuali tipo sono caldamente consigliate per ovvie motivazioni, tra cui ne citiamo alcune soltanto. Innanzitutto, per il fatto che sono uscite in Gazzetta ufficiale europea, circostanza non così frequente. In secondo luogo, per evidenti ragioni di accountability. Teniamo a precisare che l’adeguamento a tale format è facoltativo, con la conseguenza tuttavia che in caso di utilizzo di altre (vecchie) matrici occorrerà un duplice sforzo, da un lato implementare gli allegati (in particolare quello sulle misure di sicurezza), e dall’altro motivare le ragioni dello scostamento, non sempre agevoli. Il ruolo da responsabile del trattamento Il ruolo del responsabile va definito senza ombra di dubbio in relazione al contesto. La regola generale prevede che il titolare del trattamento risponda della gestione effettuata dai responsabili (Considerando 81). Compito specifico del titolare è quello di valutare il rischio del trattamento. In ogni caso, il titolare deve sempre poter sindacare le decisioni dei responsabili, i quali per parte loro debbono essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato, al centro di tutto il GDPR. Il responsabile del trattamento di oggi, secondo l’EDPB (7/2020) Il ruolo del responsabile del trattamento di cui al regolamento europeo, oggi, è pacificamente riservato ad un soggetto esterno all’Organizzazione, specie con riferimento ai fornitori di servizi. Il responsabile del trattamento tratta i dati attenendosi alle istruzioni impartite dal titolare, si assume responsabilità proprie e ne risponde alle competenti autorità. La “scomparsa” dei Responsabili interni, di ieri Come anticipato, in principio, il vecchio Codice Privacy prevedeva già il responsabile del trattamento cd interno. Tuttavia, l’accezione data in allora appare totalmente differente a quella che si vuole attribuire oggi. I rapporti tra responsabile e titolare Una “novità” introdotta dal GDPR è data dalle disposizioni impositive particolari obblighi ai responsabili del trattamento, come ad esempio, la garanzia che gli autorizzati si siano impegnate alla riservatezza, oppure la tenuta di un registro di tutte le categorie di attività relative al trattamento, l’attuazione di misure tecniche e organizzative adeguate, eccetera. La scelta del responsabile: criteri e procedure Il titolare del trattamento deve impiegare «unicamente responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate», affinché il trattamento ora soddisfi i requisiti del GDPR anche in merito alla sicurezza, ora garantisca la tutela dei diritti degli interessati. Le garanzie «presentate» dal responsabile del trattamento sono le stesse che il medesimo è in grado di dimostrare in modo soddisfacente al titolare del trattamento. Sovente, ciò richiederà un talvolta copioso scambio di documentazione pertinente, come ad esempio, la policy di accountability, le condizioni di erogazione del servizio, il registro delle attività di trattamento, i meccanismi di gestione dei log, politica in materia di sicurezza delle informazioni, ove presente, meglio se rispondente ai parametri della “famiglia” delle ISO 27000. L’obbligo di impiegare solo responsabili del trattamento ad hoc, per il tramite di procedure specifiche sul tema confezionate, rappresenta un obbligo permanente. I responsabili e i sub-responsabili, tra rapporti e obblighi Non è infrequente che un trattamento di dati personali coinvolga più soggetti definibili ai sensi dell’art. 28 GDPR “responsabili”. Ma non è tutto. Anzi, spesso accade che un titolare del trattamento si avvalga di un solo responsabile del trattamento il quale, a sua volta, previa autorizzazione generale o specifica prestata dal titolare medesimo, utilizzi uno o più responsabili del trattamento cd “subresponsabili”. Questi ultimi sono soggetti che assumono, a loro volta, il ruolo di responsabile nei confronti di altro responsabile, come ad esempio in caso di subappalto o subfornitura e per conseguenza anche delle attività di trattamento, per conto del titolare. L’autorizzazione può essere generale ovvero specifica. Anche all’eventuale sub-responsabile dovranno essere fornite le istruzioni, dovendo anche egli operare nel pieno rispetto degli obblighi imposti al primo responsabile del trattamento, oltre a dover fornire le garanzie sufficienti previste dall’art. 28 GDPR (par. 3), proprio come il responsabile nei confronti del titolare. Dette garanzie, al pari delle altre, dovranno essere contrattualizzate. Senza tuttavia dimenticare che resta sempre e comunque il primo/principale responsabile a rispondere dell’eventuale inadempimento dei successivi sub-responsabili, anche ai fini del risarcimento di eventuali danni causati dal trattamento, nei confronti del titolare, salva la prova di cui all’art. 1218 c.c. La catena di controllo L’affidamento all’esterno di trattamenti, come appare intuitivo, genera una ‘filiera’ di attività più o meno complessa in relazione al numero dei soggetti partecipanti (responsabili e sub-responsabili del trattamento). Allo stato attuale la gestione conforme della filiera dei responsabili e sub è ancora molto frammentata, nonostante il quinquennio comunque trascorso. Senza contare che spesse volte è dato riscontrare, specie all’interno di realtà importanti/grandi difetta spesso una sinergia tra il team privacy interno e il procurement. In tema di filiera dei trattamenti, (soltanto) la CNIL ha ritenuto consentita la riutilizzazione dei dati personali trattati per conto del titolare del trattamento da parte di un responsabile e per finalità proprie di quest’ultimo. I diversi obblighi del responsabile del trattamento Il responsabile ha, in questa (nuova) veste, diversi obblighi. Anzitutto, ha l’onere di tenere un registro delle attività di trattamento. In secondo luogo, egli ha l’obbligo di garantire la sicurezza dei dati, adottando tutte le misure di sicurezza adeguate al rischio (art. 32 GDPR). Inoltre, il responsabile ha l’obbligo di avvisare, assistere e consigliare il titolare. Dovrà, quindi, consentire e contribuire alle attività di revisione, comprese gli audit, da previamente concordare. Per completezza, diciamo ancora che l’art.27 GDPR precedente prevede che il responsabile del trattamento debba designare per iscritto un Rappresentante nell’Unione nel caso in cui si occupi del «trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: (C23, C24) a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione». Siffatto obbligo non sussiste solo e nella misura in cui il trattamento sia occasionale e non inclusivo quello su larga scala di categorie particolari di dati di cui all’art. 9, par. 1, o di dati personali relativi a condanne penali e a reati di cui all’art. 10. Mentre, non si applica per nulla alle autorità pubbliche o agli organismi pubblici. Obbligo di assistenza al titolare del trattamento Il responsabile è tenuto a fornire tutta l’assistenza richiesta dal titolare del trattamento. Il tipo e il grado di assistenza che il responsabile del trattamento è tenuto a fornire possono, con tutta evidenza, variare notevolmente «tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento». Per converso, il titolare è tenuto a informare in maniera adeguata il responsabile del trattamento circa i rischi di quest’ultimo e a qualsiasi altra circostanza tale da poter aiutare il responsabile del trattamento a svolgere i propri compiti. Tra gli obblighi specifici di assistenza (al titolare) rientra l’assistenza in caso di data breach. Il responsabile del trattamento deve assistere il titolare nell’adempimento dell’obbligo di notificare le violazioni dei dati personali all’autorità di controllo e agli interessati. In base alle caratteristiche specifiche del trattamento affidato al responsabile, è d’uopo stabilire all’interno del contratto ex art. 28 un lasso di tempo specifico (ad esempio, il numero di ore) entro il quale il responsabile del trattamento deve informare il titolare. Generalmente si indicano 24, 36 ore in considerazione delle 72 ore che il titolare del trattamento ha a disposizione per notificare ex art. 33 GDPR una volta accertato che si sia in presenza non di un semplice incidente di sicurezza, ma di un vero e proprio data breach. Obbligo di cancellazione/restituzione dei dati, su richiesta-scelta del titolare Al responsabile incombe poi un altro compito, quello cioè di cancellare e quindi restituire i dati, circostanza da doversi specificare nel contratto. Qualora il titolare del trattamento dovesse scegliere di cancellare i dati personali, il responsabile del trattamento è tenuto a garantire che la cancellazione sia effettuata in un modo sicuro e conforme ai parametri di cui all’art. 32, fornendone prova purché questa non si annoveri tra le probatio diabolica. Il tutto si lega anche a un altro tema fondamentale del GDPR, vale a dire la conservazione; per quanto il responsabile del trattamento debba comunque cancellare tutte le copie esistenti dei dati, salvo che il diritto dell’UE o degli Stati membri non preveda un’ulteriore conservazione. Obbligo di mettere a disposizione del titolare tutte le informazioni necessarie Il contratto deve prevedere poi disposizioni dettagliate sulla frequenza e modalità del flusso di informazioni tra il responsabile e il titolare del trattamento, in modo tale che il titolare del trattamento sia pienamente informato in merito a quegli elementi del trattamento atti a dimostrare il rispetto degli obblighi di cui all’articolo 28 del GDPR. Le parti dovrebbero cooperare in buona fede e valutare se e quando sia necessario effettuare attività di revisione presso il responsabile del trattamento nonché quale tipo di revisione o ispezione (a distanza/in loco/secondo altre modalità utili per raccogliere le informazioni necessarie) sia necessario e appropriato nel caso di specie, tenendo conto altresì delle questioni in materia di sicurezza; la scelta finale in merito spetta al titolare del trattamento. Analogamente, dovrebbero essere stabilite procedure specifiche per quanto riguarda l’ispezione dei sub-responsabili del trattamento da parte del responsabile e del titolare. Obbligo di assistere il titolare nelle richieste di esercizio dei diritti Pur stipulando che dare seguito alle richieste degli interessati sia di competenza del titolare del trattamento, il contratto deve prevedere che il responsabile del trattamento abbia l’obbligo di fornire assistenza «con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile». La natura di tale assistenza può variare notevolmente «tenendo conto della natura del trattamento» e a seconda del tipo di attività affidata al responsabile. I dettagli relativi all’assistenza che il responsabile del trattamento è tenuto a fornire dovrebbero essere previsti nel contratto o in un suo allegato. Mentre l’assistenza in questione può consistere semplicemente nel trasmettere tempestivamente qualsiasi richiesta ricevuta e/o nel consentire al titolare del trattamento di estrarre e gestire direttamente i dati personali pertinenti, in talune circostanze al responsabile saranno affidati compiti tecnici più specifici, in particolare laddove sia in grado di estrarre e gestire i dati personali. È fondamentale tenere presente che, sebbene la gestione pratica delle singole richieste possa essere esternalizzata al responsabile del trattamento, è al titolare che spetta soddisfarle. Pertanto, la valutazione dell’ammissibilità delle richieste degli interessati e/o del rispetto dei requisiti di cui al GDPR dovrebbe essere effettuata dal titolare del trattamento, caso per caso o mediante istruzioni chiare fornite al responsabile per mezzo del contratto prima dell’inizio del trattamento. Inoltre, i termini di cui al capo III non possono essere prorogati dal titolare sulla base del fatto che le informazioni necessarie devono essere fornite dal responsabile del trattamento. Le istruzioni date dal titolare al responsabile, tenuto ad attenersi Il titolare del trattamento deve fornire al responsabile “istruzioni” relative a ciascuna attività di trattamento. Il responsabile si limita a quanto disposto dal titolare del trattamento, ma ha la possibilità di suggerire elementi che, se accettati dal titolare del trattamento, diventano parte delle istruzioni impartite. Le istruzioni impartite dal titolare del trattamento devono essere documentate. A tal fine, come scrive l’EDPD «si raccomanda di prevedere una procedura e un modello per fornire ulteriori istruzioni attraverso un allegato al contratto o altro atto giuridico. In alternativa, le istruzioni possono essere impartite in qualsiasi forma scritta (ad esempio per posta elettronica) e in qualsivoglia altra forma documentata, purché sia possibile documentarle. In ogni caso, per evitare difficoltà nel dimostrare che le istruzioni del titolare del trattamento sono state debitamente documentate, l’EDPB raccomanda di accorpare tali istruzioni al contratto o al diverso atto giuridico». Le misure in capo ai responsabili secondo la ISO/IEC 27001:2013 e la ISO/IEC 27701:2019 Il noto e famoso art. 32 del GDPR, in pratica sulle misure di sicurezza, impone al titolare e al responsabile del trattamento di mettere in atto misure tecniche e organizzative di sicurezza adeguate. Con riferimento all’obbligo in capo al responsabile del trattamento di ottenere l’approvazione del titolare del trattamento prima di apportare eventuali modifiche risiede essenzialmente in un riesame periodico delle misure di sicurezza, onde garantirne l’adeguatezza rispetto ai rischi, variabile nel tempo. Il responsabile del trattamento in funzione di amministratore di sistema Il GDPR non prevede espressamente la figura dell’amministratore di sistema, come noto. É il Garante italiano (nella fattispecie l’illustre Prof. Pizzetti) che nel famoso provvedimento sugli amministratori di sistema del 2008 (poi modificato il 26 giugno 2009) definisce l’amministratore di sistema” (cd AdS), in ambito informatico, «…la figura professionale finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, facendo però rientrare in essa anche le altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi». La mancata espressa citazione all’interno del GDPR, come per altro (e ci riferiamo agli illeciti penali), non significa che tale figura sia sparita. Niente affatto. Ricordiamo che l’amministratore di sistema è un ruolo operativo, fondamentale per la sicurezza dei sistemi informatici e telematici e delle banche dati, e quindi con specifiche competenze tecniche, al quale è affidato il compito della gestione di tali sistemi, autorizzando altri soggetti (sempre in base alle istruzioni ricevute) all’accesso ai sistemi (ad es. registrazione degli accessi logici, accessi logici separati, ecc.), oltre al compito di vigilare sull’utilizzo dei sistemi. É chiaro ed evidente che, qualora tale ruolo venga esternalizzato, l’amministratore di sistema sarà un responsabile del trattamento. Una possibile formula che si potrebbe suggerire da inserire nel contratto ex art. 28 potrebbe essere del seguente tenore: «qualora i compiti assegnati al Responsabile, le funzioni da esso svolte e le attività di trattamento dei dati personali condotte entro il proprio ambito, dovessero prevedere la gestione e la manutenzione di impianti di elaborazione di proprietà del Titolare, il Responsabile dovrà provvedere ad individuare, selezionare ed elencare il personale adibito a questa funzione, garantendone altresì la valutazione, la designazione e l’elencazione, secondo quanto stabilito dal provvedimento sugli amministratori di sistema.» Un caso specifico e gli esempi del Board Illustriamo ora, di seguito, un caso di specie e, poi, riportiamo talquali gli esempi che l’EDPB ha individuato e commentato nella linea guida 7/2020. Il servizio di web hosting Il servizio di web hosting è giuridicamente il responsabile del trattamento dei dati rispetto al gestore del sito web, poiché detto servizio elabora i dati per conto del titolare (cioè il cliente). Da qui, la necessità di un contratto tra titolare e web hosting, precisandone bene i termini tra cui le misure di sicurezza (tecniche e organizzative) da mettere in atto, adeguate al rischio valutato. L’hosting dal canto suo dovrà attenersi alle istruzioni impartitegli e di cui al contratto, pur rimanendo una qual certa discrezionalità, ad esempio nella scelta degli strumenti tecnici ed organizzativi più idonei. L’hosting dovrà tenere per bene il registro dei trattamenti effettuati per conto del cliente (titolare), secondo le forme e modalità di cui all’art. 30 del GDPR, cui si rinvia. Pacificamente, da ultimo corre d’obbligo precisare che il web hosting è responsabile del trattamento con riferimento ai soli trattamenti realizzati per conto del gestore del sito (quale titolare), cliente dell’hosting. Gli esempi dell’EDPB Riportiamo nella tabella che segue gli esempi che il Board riporta, testualmente. ESEMPI PROSPETTATI Servizio di taxi Un servizio di taxi offre una piattaforma online che consente alle società di prenotare un taxi per trasportare dipendenti o ospiti da e verso l’aeroporto. Al momento della prenotazione di un taxi, la società ABC specifica il nome del dipendente che dovrebbe essere prelevato dall’aeroporto in modo che il conducente possa verificarne l’identità all’arrivo. In questo caso, il servizio taxi tratta i dati personali del dipendente nell’ambito del servizio prestato alla società ABC, ma il trattamento in quanto tale non è l’obiettivo del servizio. Il servizio taxi ha concepito la piattaforma di prenotazione online come parte dello sviluppo della propria attività commerciale per fornire servizi di trasporto, senza alcuna istruzione da parte della società ABC. Il servizio taxi determina inoltre in modo indipendente le categorie dei dati raccolti e la durata dell’archiviazione. Il servizio agisce quindi in quanto titolare del trattamento pienamente autonomo, malgrado il fatto che il trattamento dei dati ha luogo a seguito di una richiesta di prestazione del servizio da parte della società ABC. L’EDPB osserva che un fornitore di servizi può comunque agire come responsabile del trattamento anche laddove il trattamento dei dati personali non sia l’oggetto principale o primario del servizio, a condizione che, nella pratica, il cliente del servizio continui a determinarne le finalità e i mezzi. Nel decidere se affidare o meno il trattamento dei dati personali a un determinato prestatore di servizi, i titolari del trattamento dovrebbero valutare attentamente se il prestatore dei servizi in questione consenta loro di esercitare un livello di controllo sufficiente, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi potenziali per gli interessati. Call center La società X esternalizza l’assistenza al cliente alla società Y, che mette a disposizione un call center per agevolare le risposte ai clienti della società X. La fornitura del servizio di assistenza clienti implica che la società Y abbia accesso alle banche dati relative ai clienti della società X. La società Y può accedere ai dati solo per fornire l’assistenza che la società X ha acquistato e non può trattare i dati per finalità diverse da quelle dichiarate dalla società X. La società Y deve essere considerata responsabile del trattamento dei dati personali e tra la società X e la Y deve essere concluso un accordo di trattamento. Servizi informat ici generali La società Z si rivolge a un fornitore di servizi informatici per la manutenzione generale dei propri sistemi informatici che contengono una grande quantità di dati personali. L’accesso ai dati personali non è l’oggetto principale del servizio di assistenza, ma è inevitabile che il fornitore di servizi informatici vi abbia sistematicamente accesso durante la fornitura del servizio. La società Z desume pertanto che il fornitore di servizi informatici, essendo una società distinta che inevitabilmente è tenuta a trattare dati personali, anche se questo non è l’obiettivo principale del servizio, debba essere considerata responsabile del trattamento. Un accordo di trattamento è pertanto concluso con il fornitore di servizi informatici. Consule nte informat ico che risolve un problem a di software La società ABC si rivolge a uno specialista informatico di un’altra società per risolvere un «bug» in un proprio software. Il consulente informatico non è ingaggiato per trattare dati personali e la società ABC stabilisce che l’accesso a tali dati sarà puramente accessorio e, pertanto, estremamente limitato nella pratica. La società ABC conclude pertanto che lo specialista informatico non sia responsabile del trattamento (né un autonomo titolare del trattamento) e decide di adottare misure adeguate, a norma dell’articolo 32 del GDPR, al fine di impedirgli di trattare i dati personali in modo non autorizzato.
Come indicato in precedenza, nulla osta a che un responsabile del trattamento offra un servizio secondo caratteristiche predeterminate, ma il titolare deve prendere la decisione finale di approvare attivamente le modalità di esecuzione del trattamento, almeno per quanto concerne i mezzi essenziali dello stesso. Come detto, un responsabile del trattamento dispone di un margine di manovra per quanto riguarda i mezzi non essenziali (cfr. la sottosezione 2.1.4). Fornitore di servizi cloud Un comune ha deciso di utilizzare un fornitore di servizi cloud per la gestione delle informazioni nei propri servizi scolastici e di istruzione. Il servizio cloud fornisce servizi di messaggistica, videoconferenze, archiviazione di documenti, gestione del calendario, trattamento testi, ecc. e ciò comporterà il trattamento di dati personali relativi agli alunni e agli insegnanti. Il fornitore di servizi cloud ha proposto un servizio standardizzato, offerto a livello mondiale. Il comune deve comunque assicurarsi che l’accordo in vigore sia conforme all’articolo 28, paragrafo 3, del GDPR, e che i dati personali di cui è titolare siano trattati esclusivamente per le proprie finalità. Deve inoltre assicurarsi che le sue istruzioni specifiche, concernenti per esempio i periodi di archiviazione, la cancellazione dei dati ecc. siano rispettate dal fornitore di servizi cloud, indipendentemente da quanto previsto in via generale dal servizio standardizzato. Le responsabilità e il ristoro degli eventuali danni Il responsabile del trattamento può essere ritenuto sì responsabile e quindi sanzionabile (ex artt. 82 e 83) in caso di inadempimento degli anzidetti obblighi ovvero nel caso in cui agisca al di fuori o in contrasto con le istruzioni impartite dal titolare del trattamento. Le condotte che non siano conformi al GDPR dal momento che determinano finalità e mezzi del trattamento — agendo in pratica nella qualità di un vero e proprio titolare —sortiscono proprio l’effetto di qualificare de plano il responsabile quale titolare “ipso iure” del trattamento. In termini di ripartizione delle responsabilità, in presenza di più titolari o responsabili coinvolti nello stesso trattamento e, accertato che siano tutte responsabili del danno cagionato, ne risponderanno in solido per l’intero danno, con quanto per conseguenza (diritto di rivalsa e azione di regresso). Il titolare e il responsabile sono invece esonerati da responsabilità qualora riescano a dimostrare che l’evento dannoso non sia a loro imputabile, secondo i meccanismi squisitamente civilistici (art. 1218 cc e ss). Di certo, un dato è indiscutibile: nel nuovo impianto dettato dal GDPR, proprio in virtù del principio di accountability, non è contemplata né contemplabile uno “scarico” di responsabilità su qualche altro soggetto/attore/protagonista del Regolamento. Le sanzioni in Italia per mancata regolarizzazione tra titolare e responsabile La violazione, tra gli altri, dell’art. 28 determina ipso facto, in caso di verifica (dettata da segnalazione/reclamo/data breach/ visita ispettiva) l’irrogazione di sanzioni amministrative pecuniarie di cui al primo scaglione, vale a dire fino a 10 milioni di euro oppure, per le imprese, al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore, come da disposto di cui all’art. 83. Al riguardo, citiamo il provvedimento (ordinanza – ingiunzione) emesso lo scorso settembre 2021 nei confronti di Roma capitale, eloquente in tal senso, e nella fattispecie con riferimento alla carenza dell’art. 28 afferma chiaramente che, con riferimento alla “…mancata definizione del ruolo dei soggetti esterni coinvolti nel trattamento” il Garante scrive testualmente al punto 3.3.: «Ai fini del rispetto della normativa in materia di protezione dei dati personali, occorre identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento e dei soggetti che operano sotto la diretta responsabilità di questi (art. 4, par. 1, punto 7 del Regolamento). Come già chiarito precedentemente dal Garante, il titolare, nel caso di specie Roma Capitale, è il soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una “responsabilità generale” sui trattamenti posti in essere (v. art. 5, par. 2 c.d. “accountability” e 24 del Regolamento), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, punto 8) e 28 del Regolamento; cfr. anche provvedimento n. 81 del 7 marzo 2019, doc. web 9121890; provvedimento n. 160 del 17 settembre 2020, doc. web 9461168). Il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a) del Regolamento). Il Regolamento ha disciplinato anche gli obblighi e le altre forme di cooperazione cui è tenuto il responsabile del trattamento quando agisce per conto del titolare e l’ambito delle rispettive responsabilità (v. artt. 30, 33, par. 2 e 82 del Regolamento). Omissis La mancata definizione del rapporto con i soggetti esterni coinvolti nel trattamento, – ferme restando le valutazioni in ordine alla liceità del trattamento svolto dalle società, che saranno oggetto di autonomi procedimenti – ha comportato la violazione dell’art. 28 del Regolamento da parte di Roma Capitale. Altri casi ancora e in chiusura, ponendo uno sguardo sulla compliance se pensiamo a “B&T-Dorelan”, “Enel Energia” e “Google analytics vs. DSB” ci narrano di situazioni che danno luogo a filiere di trattamenti la cui compliance alla disciplina del trattamento dei dati personali – quale che sia la loro complessità – ricade comunque sotto la “responsabilità generale” del titolare del trattamento. Pertanto, nella prospettiva dei Garanti, per il vero, l’esternalizzazione dei trattamenti implica il controllo della filiera da essa generata, che va implementato attraverso misure tecniche e organizzative (con modelli organizzativi). Con tutta evidenza, l’assenza di controllo, come desumibile dai due casi sopra citati (Dorelan ed Enel energia) non può non avere ricadute sugli interessati ed in particolare sui lori diritti all’informativa, all’azionabilità dei diritti tutti, nonché alla violazione dei dati potenziali data breach. fonte: AGENDA DIGITALE