Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GUIDA ALLA NORMATIVA

Il responsabile del trattamento dati: linee guida per una scelta ponderata

La scelta di un responsabile del trattamento è una notevole responsabilità per tutti i soggetti coinvolti nel processo di trattamento di dati personali. Facciamo quindi chiarezza su quali sono i principali aspetti da considerare per raggiungere la compliance al GDPR su questo delicato aspetto

09 Lug 2019
T
Roberto Tuninetti

Consulente Privacy & Data Protection Officer


La fondamentale figura del responsabile del trattamento dati ha avuto un’importante evoluzione con la promulgazione del Regolamento UE 679/2016 (meglio noto con l’acronimo GDPR).

L’articolo 4 al comma 8 definisce il responsabile del trattamento dei dati personali come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento“.

Evoluzione della figura del responsabile del trattamento

Emerge subito chiaramente come tale definizione sia in perfetta linea di continuità con quanto previsto con la disciplina precedente al GDPR (l’art. 29 del Decreto legislativo 30 giugno 2003, n. 196, infatti, definiva responsabilela persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali“).

L’aspetto più evidente e significativo della nuova normativa consiste nel fatto che la disciplina dell’accordo tra titolare e responsabile (controller e processor secondo la terminologia originale) sia estremamente più dettagliata rispetto a quanto prevedeva il D.lgs. 196/2003: questo indica chiaramente come si tratti di un tema fondamentale rispetto al quale si è sentita l’esigenza di intervenire in maniera sostanziale.

Considerazioni pratiche

A livello concreto, partiamo dal sottolineare il fatto che ci sono attività di trattamento che il titolare può delegare (ad esempio nel caso degli agenti di commercio, in cui il titolare può scegliere di perseguire quelle determinate finalità o meno) ed alcune che il titolare deve delegare (come nel caso dei consulenti del lavoro o della gestione paghe, in cui il titolare non può scegliere di non conseguire quella finalità).

Detto questo, la valutazione e la scelta di investire un soggetto del ruolo di responsabile del trattamento deve essere effettuata in maniera molto ponderata: non sempre risulta semplice ottenere un accordo condiviso in materia.

Spesso, per mancata conoscenza della normativa o della consapevolezza sul proprio ruolo oppure per timore di vedere aumentate le proprie responsabilità, il fornitore-responsabile manifesta delle “resistenze” nell’accettare il vincolo.

Per questo motivo, è importante stabilire relazioni costruttive nei confronti dei propri fornitori-responsabili, sottolineando come questi adempimenti siano necessari e che, a prescindere dalla formalizzazione mediante la nomina, ci si potrebbe trovare davanti ad una ipotesi di “rappresentante de facto”.

Senza contare come, molto spesso, un responsabile del trattamento sia anche titolare per quanto riguarda i trattamenti che pone in essere determinandone finalità e mezzi.

Il Regolamento UE 679/2016 stabilisce regole estremamente puntuali in merito all’accordo previsto dall’articolo 28 del GDPR.

Tale accordo, da concludersi in forma scritta e volto a regolare i rapporti tra titolare e responsabile, è uno dei punti fondamentali della normativa privacy: con esso si statuisce, da parte del titolare, una scelta che deve essere molto ponderata in quanto il responsabile deve avere determinate caratteristiche: deve presentare garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento.

Nel comma 1 dell’articolo 38 e da ciò che è richiamato dal considerando 81 del GDPR, emerge in tutta la sua forza il principio di accountability che pervade il Regolamento: il titolare non deve scegliere solo sulla base dell’offerta economica o sulla base dell’inerzia dovuta al fatto che si tratta di un proprio collaboratore storico.

Si impone al titolare una valutazione circostanziata e puntuale delle caratteristiche soggettive ed oggettive del responsabile “in nucem”, se necessario con l’ausilio di un esperto in materia, ed ai soggetti in predicato di rivestire il ruolo di responsabile del trattamento, di formarsi in merito alle disposizioni normative sulla privacy per non essere, in prospettiva, essere tagliati fuori dal mercato.

Non è, ovviamente, sufficiente la conoscenza teorica, ma devono essere poste in essere tutte le misure necessarie a garantire la tutela dei diritti dell’interessato ed il soddisfacimento dei requisiti del GDPR, partendo dalla progettazione dei trattamenti, in modo da dare piena attuazione all’approccio della privacy by design.

L’atto di nomina del responsabile del trattamento

Per garantire ulteriormente le prescrizioni regolamentari, il legislatore europeo ha statuito che l’esecuzione dei trattamenti da parte di un responsabile del trattamento deve essere disciplinata da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare del trattamento.

Tale atto deve prendere forma su iniziativa del titolare, in quanto unico soggetto che può stabilire se e quando un trattamento debba essere effettuato per suo conto.

Si sono visti atti in cui taluni soggetti si sono “autoproclamati” responsabili del trattamento: a prescindere dalla correttezza sostanziale dell’impulso di partenza (quanto precedentemente detto in merito alle “resistenze” dei responsabili è valido anche per i titolari), un atto posto in essere da un soggetto diverso dal titolare del trattamento può essere considerato viziato, con conseguente situazione di rischio derivato da violazione dell’articolo 84 GDPR.

L’articolo 28 GDPR statuisce cosa il titolare del trattamento deve disporre in tale atto. In esso devono essere puntualmente trattati:

  • la materia disciplinata e la durata del trattamento;
  • la natura e le finalità del trattamento;
  • il tipo di dati personali e le categorie di interessati, tenendo conto dei compiti e responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato.

Il medesimo articolo fissa, inoltre, i doveri e i vincoli del responsabile del trattamento dei dati personali, il quale deve:

  • trattare i dati personali soltanto su istruzione documentata del titolare del trattamento (salvo eccezioni richieste dal diritto dell’Unione o dal diritto nazionale cui è soggetto il responsabile del trattamento);
  • garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  • adottare tutte le misure richieste ai sensi dell’articolo 32, tra cui (tenendo conto di costi, rischio e natura, oggetto e finalità del trattamento) anonimizzazione e cifratura; riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento; capacità di disaster recovery;
  • assistere il titolare del trattamento ad adempiere agli obblighi derivanti dall’esercizio dei diritti dell’interessato;
  • assistere il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, inerenti la sicurezza del trattamento, notifica e comunicazione delle violazioni, valutazione d’impatto sulla protezione dei dati e consultazione preventiva;
  • cancellare o restituire, in base a quanto scelto dal titolare, i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento;
  • mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi ex art. 28 e agevolare le attività di revisione e ispezione che il titolare, o altro soggetto da questi incaricato, può porre in essere;
  • adeguarsi alla previa autorizzazione scritta, specifica o generale, del titolare prima di ricorrere ad altro responsabile del trattamento.

La questione dei sub-responsabili

Una delle novità maggiori presenti nel GDPR è quella prevista dall’articolo 28 comma 2: “Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche”.

Nell’ambito dei servizi moderni è tutt’altro che raro che un responsabile del trattamento dei dati personali si avvalga di una serie di organizzazioni a cui vengono delegate porzioni più o meno grandi di attività di trattamento. Si tratta dei cosiddetti “sub-responsabili”, figura che, prima del GDPR, vedeva esclusiva collocazione nelle clausole contrattuali standard approvate dalla Commissione Europea per il trasferimento dei dati a responsabili extra UE.

Il legislatore europeo ha preso atto di una situazione diffusa nella quale, in situazioni contrattuali complesse, il trattamento dei dati non si esaurisce al primo livello della catena titolare-responsabile, e la disciplina tramite lo strumento della autorizzazione scritta per la nomina di altri responsabili.

L’autorizzazione può essere specifica, cioè fornita per una specifica nomina del sub-responsabile, oppure generale, cioè riferita ad ogni eventuale nomina si possa rendere necessaria.

Il controllo rimane sempre a disposizione del titolare, infatti il comma 2 dell’articolo 28 stabilisce che “nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche”.

Le responsabilità del responsabile del trattamento

Qualora titolare e responsabile siano coinvolti nello stesso trattamento e siano responsabili dell’eventuale danno causato dal trattamento stesso, l’articolo 82 comma 4 del GDPR stabilisce che entrambi i soggetti sono responsabili in solido per l’intero ammontare del danno (si può esigere l’intero pagamento sia dal titolare che dal responsabile), questo per garantire un più semplice ed effettivo risarcimento al soggetto interessato.

Tra titolare e responsabile si procederà alla valutazione “interna” delle responsabilità. Ciascun soggetto sarà esente da conseguenze risarcitorie qualora dimostri che l’evento dannoso intercorso non è ad essa in alcun modo imputabile.

Il responsabile del trattamento sarà, in particolare, responsabile per il danno causato dal trattamento solo se non ha adempiuto agli obblighi previsti dal GDPR in capo ai “processor” oppure ha agito in difformità alle legittime istruzioni del titolare.

Da notare che, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione (articolo 28 comma 10 GDPR), con la conseguenza che gli obblighi specifici in capo ai titolari del trattamento diventano applicabili, così come le relative sanzioni.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5