Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La normativa

Le “ispezioni” nel contratto tra titolare e responsabile, a norma GDPR: cosa sono e come gestirle

Nell’articolo 28 del GDPR, alla lettera H, viene contemplato il dovere da parte del responsabile di consentire e contribuire alle ispezioni da parte del titolare del trattamento. Per non incappare in errori, è bene approfondire le sfumature normative riguardo al potere ispettivo del titolare

09 Apr 2019
N

Carlo Nocera

Avvocato e Data Protection Officer – Studio Legale Nocera


Il GDPR prevede nel contratto fra titolare e responsabile del trattamento che quest’ultimo “metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi” e consenta e contribuisca “alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento”. Questo passaggio è regolato dall’articolo 28, lettera H.

La mera, ed isolata dal contesto, lettura di questa previsione potrebbe indurre a ritenere sussistente, sempre e comunque, un potere ispettivo in capo al titolare del trattamento nei confronti del responsabile: a mio avviso, e per più di una ragione, non può essere così.

L’onere del titolare riguardo la scelta del responsabile

Per un migliore inquadramento della fattispecie va sottolineata la previsione di rilievo, molto spesso disattesa nella pratica, che impone al titolare del trattamento di ricorrere “unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate” in modo tale che le attività delegate, al contempo, soddisfino le previsioni regolamentari e garantiscano la tutela dell’interessato.

La disposizione, all’evidenza, prefigura dunque una possibile culpa in eligendo per il titolare: pertanto, a mio avviso una scelta errata in termini di inadeguatezza del responsabile rispetto a quanto complessivamente previsto dalla normativa vigente in materia di protezione dati rappresenta già un vulnus della politica di protezione dati del titolare impossibile da emendare (salvo il caso, soltanto manualistico, dell’inganno perpetrato dal responsabile circa la fantomatica esistenza di garanzie e misure idonee per la protezione dei dati, che tuttavia non esonererebbe comunque il titolare dall’emersione di un ulteriore addebito per culpa in vigilando).

D’altronde, tanto la norma quanto la relativa ratio sono del tutto chiare: da un punto di vista sostanziale non può, ma direi meglio “non deve”, emergere alcuna soluzione di continuità tra le due figure coinvolte nel trattamento quanto al livello di attenzione da riporre alla protezione dei dati personali.

E che tale dicotomia non sia ammessa dal Regolamento è oltremodo evidente nelle previsioni di collaborazione tra responsabile e titolare – assistenza in materia di evasione delle richieste per l’esercizio dei diritti dell’interessato e quanto al rispetto degli obblighi del titolare in materia di sicurezza e valutazione d’impatto – e di “proattività”, che prefigura scenari di segnalazione del responsabile al titolare di eventuali previsioni contrattuali potenzialmente lesive di norme, nazionali e transnazionali, in materia di protezione dei dati.

Ne deriva, a mio avviso, che la tipizzazione del responsabile del trattamento quale soggetto essenzialmente “passivo” del rapporto contrattuale si rivela del tutto errata, stante l’assenza di qualsiasi dominio del titolare[1]: da cui una esclusiva differenza tipologica, fisiologicamente perimetrata dalla norma quanto ad attribuzioni, obblighi e responsabilità.

Le azioni contrattuali del titolare e del responsabile

Una volta “prescelto”, con la sottoscrizione del contratto di cui all’articolo 28 del GDPR, il responsabile assume un corollario di oneri derivanti dall’accettazione di effettuare i trattamenti in nome e per conto del titolare, sintetizzabili nell’acquisizione delle istruzioni documentate del titolare – lett. a) – nella fornitura di garanzie in ordine alla riservatezza delle persone autorizzate al trattamento dei dati personali – lett. b) – nell’adozione di tutte le misure richieste in materia di sicurezza del trattamento – lett. c) – e, venendo a quanto oggetto del presente contributo, nella messa a disposizione al titolare del trattamento di tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’articolo 28 e a consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato – lett. h.

Vanno dunque tenute in debita considerazione le due fasi che necessariamente dovrebbero caratterizzare l’accordo tra titolare e responsabile: una prima, che possiamo definire “precontrattuale”, e la seconda pienamente “contrattuale”.

Ebbene, abbiamo visto che la scelta del responsabile grava sul titolare, onerato dall’individuazione di soggetti idonei, dotati del “corredo” indefettibile delle misure tecniche e organizzative ritenute valide per assicurare la “continuità” nella protezione dei dati, ontologicamente attribuita al titolare del trattamento.

E proprio in questa prima fase “precontrattuale” a mio avviso emerge per il titolare la necessità di acquisire la documentazione necessaria, nonché di svolgere eventuali attività concordate di audit, idonee a soddisfare la prima condizione rigorosamente richiesta dalla legge[2] e a porlo al riparo da eventuali ipotesi di responsabilità a titolo della citata culpa in eligendo.

Soltanto una volta che il titolare può dirsi soddisfatto dell’esistenza delle condizioni che integrano tale presupposto normativo sarà possibile passare alla fase contrattuale, avvisabile tanto nella stesura dell’atto quanto nella previsione della scansione temporale degli adempimenti e degli obblighi ivi previsti.

A questo punto, nell’affrontare la previsione della lettera h), ritengo che questa debba essere distinta in una parte foriera di obbligo e in un’ulteriore parte oggetto di negoziazione contrattuale.

La parte che statuisce un obbligo in capo al responsabile è certamente quella che prevede che questi “metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo”: si tratta, all’evidenza, di alimentare un flusso informativo diretto al titolare del trattamento circa la conformità dell’azione del responsabile alle previsioni normative complessivamente vigenti in materia[3].

Un’azione certamente dovuta che, da un lato, permette al responsabile di rinnovare l’ostensione della validità delle misure tecniche e organizzative in materia di protezione dei dati e, dall’altro, consente al titolare del trattamento di assolvere agli obblighi di vigilare sulla correttezza del trattamento, figli delle responsabilità a lui ascritte in termini di esame, riesame ed eventuale aggiornamento delle misure da adottare in termini di trattamento.

Appare quasi pleonastico affermare che dette informazioni, e i relativi flussi, debbano essere documentati in ossequio al generale principio di accountability, mediante forme e con scansioni temporali da negoziare contrattualmente, tenendo conto della “triade” classica dell’ambito di applicazione, del contesto e delle finalità del trattamento.

A volere esemplificare, ritengo che per buona parte degli operatori economici la previsione di una relazione redatta dal responsabile del trattamento su scala semestrale, contenente i dati caratterizzanti sia lo stato delle misure tecnico-organizzative del responsabile sia un report circa i trattamenti effettuati e l’attestazione della relativa conformità tanto alla legge quanto alle istruzioni pro tempore fornite dal titolare, sia più che sufficiente all’assolvimento dell’obbligo in questione.

La non obbligatorietà del potere ispettivo del titolare

Conseguentemente, non può intendersi a carattere obbligatorio e generalizzato la previsione secondo cui il responsabile “consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da altro soggetto da questi incaricato”. Infatti, ferme restando le variabili in ordine all’ambito di applicazione, contesto e finalità del trattamento che ben potrebbero “imporre” la previsione contrattuale de qua adeguatamente strutturata, a mio avviso a fronte di un regolare flusso di informazioni tra i contraenti, con l’ovvia possibilità di verificare la veridicità delle stesse con richieste supplementari, è possibile ritenere facoltativo il passaggio della disposizione appena citata.

A ben vedere, le ispezioni rappresentano un “di cui” delle attività di revisione e queste ultime non possono che essere ravvisate nelle eventuali necessità di modificare i trattamenti e, con essi, le attribuzioni dei contraenti, le misure tecnico-organizzative e, dunque, le previsioni contrattuali: sarebbe già sufficiente per tipizzare il passaggio in esame come la più classica delle endiadi[4].

Pertanto, in costanza dell’adeguatezza delle misure adottate dal responsabile, verificate tanto ex ante quanto ex post dal titolare del trattamento e comunque negoziate e accettate contrattualmente, le previste attività di revisione, e con esse le ispezioni, rappresentano una mera eventualità, certamente da considerare, ma non un obbligo tale da predeterminare di default poteri ispettivi in capo al titolare del trattamento.

Un’impostazione del genere, poi, non allenta affatto le garanzie che la legge ordinariamente accorda al titolare del trattamento a seguito di quanto previsto in materia di responsabilità contrattuale ex art. 1218 del codice civile da raccordare necessariamente, vista l’attività richiesta al responsabile del trattamento, alla diligenza del “debitore qualificato” (o “diligenza professionale”, che dir si voglia) di cui all’art. 1176, comma 2 del medesimo codice. Né, parimenti, può determinare lo scadimento delle responsabilità che il GDPR prevede per il responsabile del trattamento, chiamato a rispondere per l’eventuale danno causato nel caso in cui non abbia adempiuto agli obblighi regolamentari ovvero abbia agito in modo difforme o contrario alle istruzioni del titolare.

  1. Valga, in proposito, la recente posizione assunta dall’Ufficio del Garante privacy con la “Risposta a un quesito relativo al ruolo del consulente del lavoro dopo la piena applicazione del Regolamento (UE) 679/2016” (Newsletter del 7 febbraio 2019) con la quale è stato precisato che il contratto a altro atto giuridico debba essere <<stipulato concordemente dalle parti tenendo conto dei compiti in concreto affidati, del contesto, delle finalità e modalità del trattamento, e non in base a modelli non aderenti alle circostanze del caso concreto o imposti unilateralmente>>.
  2. Il riferimento dell’articolo 28, par. 1, al ricorso <<unicamente a responsabili del trattamento che presentino garanzie sufficienti […]>> non lascia, condivisibilmente, spazio a scelte avventate.
  3. Il riferimento alla normativa complessivamente vigente, nonché alle best practice e ai codici di condotta che verranno, è a mio avviso necessario, giacché la circoscrizione delle informazioni al solo rispetto degli obblighi previsti dall’articolo 28 del GDPR rischierebbe di fare acquisire al titolare un visus parziale circa lo stato dell’arte del responsabile del trattamento.
  4. Intendo affermare che quanto assume rilievo per il Legislatore è l’acquisizione da parte del titolare del trattamento delle informazioni necessarie a garantirgli il rispetto delle disposizioni di legge da parte del responsabile.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5