L’entrata in vigore del GDPR ha innescato un gran da fare nel conferire nomine a “responsabile del trattamento” ad integrazione di esistenti rapporti contrattuali di ogni tipo e natura.
Nei nuovi contratti, stipulati in vigenza del GDPR, il committente prevede la nomina a responsabile del trattamento in clausole specifiche la cui finalità, espressa quasi sempre fin dal titolo, è la “protezione dei dati”; stesso tenore hanno le lettere ad integrazione di esistenti contratti pre-GDPR.
Nell’approccio ricorrente, dunque, la parte committente ritiene di dover nominare “responsabile del trattamento” la sua controparte contrattuale, incaricata della prestazione.
I casi sono i più vari; dall’affidamento a società specializzate di attività tecniche nel ruolo di “amministratore di sistema”, cioè funzionali alla manutenzione preventiva, evolutiva e correttiva su sistemi informatici; fino all’incarico conferito ad un avvocato per assistenza legale, caso nel quale, come in tutti quelli analoghi nei quali il segreto professionale è elemento costitutivo e scontato della prestazione, il professionista resta alquanto perplesso per la proposta di nomina.
Aiuta molto nell’osservazione critica, ed eventualmente nel chiarimento dei ruoli e delle dinamiche, il punto vista del Data Protection Officer (DPO), con la sua posizione di terzietà rispetto ai suoi assistiti, siano essi i titolari o i responsabili della vicenda analizzata.
Indice degli argomenti
Chi è davvero il responsabile del trattamento
Ma torniamo al punto iniziale. Secondo il par. 3 dell’art. 28 del GDPR, la nomina a “responsabile del trattamento” riporta, o dovrebbe riportare, in forma contrattuale gli elementi utili a definire la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
Ed ancora, in conseguenza del Considerando 81, la nomina dovrebbe chiarire quali siano i compiti e le responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato.
Sono davvero rari i contratti nei quali le caratterizzazioni previste dall’art. 3 siano espressamente contenute, proprio quei contratti per i quali il committente, nel suo ruolo di titolare del trattamento, vorrebbe vincolare la sua controparte contrattuale come responsabile del trattamento.
E non va meglio nelle nomine integrative, cioè quelle prodotte a perfezionamento di contratti pre-GDPR: normalmente esse richiamano genericamente ed astrattamente le responsabilità che il titolare trasferisce alla sua controparte contrattuale, senza alcun riferimento o indicazione che permetta di identificare di quali trattamenti, o gruppi o tipologie di trattamenti, la controparte contrattuale si troverà ad essere responsabile, ed a volte anche senza alcun richiamo al rapporto contrattuale dal quale si ritengono generate le attività di trattamento demandate al responsabile in nomina.
Nomina del responsabile del trattamento: il ruolo del DPO
La mancata individuazione dei trattamenti che un titolare affida a un responsabile è una condizione davvero comune che di presenta all’attenzione del DPO; è una condizione che rende più confusi i rapporti contrattuali rispetto ai compiti ed alle responsabilità relative alla protezione dei dati; e rende anche più complicata l’attività dei DPO che devono anzitutto riconoscere i trattamenti in questione e individuare correttamente (o, come si dice, “mappare”) i flussi di dati.
Un’altra indicazione sostanziale, prevista dal citato art. 3, viene normalmente disattesa: quella in cui si prevede che il titolare del trattamento accompagni le nomine dei suoi responsabili con una “documentata istruzione” specifica.
Infatti, molto spesso ci troviamo di fronte a controparti contrattuali che operano sì con la massima diligenza e responsabilità nei propri compiti, cioè eseguendo le attività di contratto. Ma proprio quando per le attività di contratto ci si ritrova genericamente ad essere anche responsabili di trattamento, la mancanza di un’istruzione specifica in materia di protezione dati diventa un’omissione cruciale; si corre il rischio di perdere, infatti, l’ultima occasione utile perché la controparte contrattuale possa conoscere con precisione quali attenzioni il proprio committente e titolare ritiene critiche in materia di protezione dati e, di riflesso, per conoscere almeno per deduzione quali siano i trattamenti che gli si ritengono affidati e quali incombenze specifiche demandate.
Altri effetti collaterali negativi derivano da nomine approssimative. Infatti, nel ruolo di responsabili di trattamento è pratica comune prevedere coperture assicurative relativamente ad incidenti in materia di protezione dati (“data breach”).
Inoltre, spesso sono gli stessi committenti-titolari ad imporre alle loro controparti-responsabili polizze di coperture a proprio esclusivo beneficio. Queste coperture diventano spesso inefficaci e pressoché inutili nei casi, come quelli delineati, in cui la nomina a responsabile risulta essere una forzatura, un atto formale più che sostanziale e poco o per niente circostanziato.
Responsabile del trattamento: giusti rapporti contrattuali col titolare
Non stupisce più, allora, la “doglianza” che il DPO talvolta raccoglie: “…vengo ingiustamente accusato di essere un Responsabile di trattamento…”; è la protesta di quella parte contrattuale che, più debole sul piano negoziale, ha dovuto subire la nomina a responsabile pur non risultando concretamente tenuta ad effettuare alcun trattamento di dati personali nell’ambito del mandato contrattuale che ha assunto.
A ben vedere, come non sfugge ad un DPO attento, le difficoltà analizzate derivano dal fatto che spesso nelle prestazioni di contratto non vi sono realmente dei trattamenti che il committente e titolare commissiona alla sua controparte contrattuale e “presunto” responsabile.
È possibile rendersene definitivamente conto alla luce di un’altra disposizione del GDPR, la quale mette in grave imbarazzo un responsabile del trattamento, che sia solo “presunto”. Al par. 3 del citato art. 28 è previsto che, al termine del rapporto contrattuale, il responsabile distrugga o restituisca al suo committente i dati dei quali ha eseguito il trattamento.
Potrebbe, dunque, accadere che un presunto Responsabile, volendo adempiere a questa previsione, o peggio ricevendo dal suo committente invito a farlo, avverta un grande senso di smarrimento, non trovando in effetti alcuna base dati da restituire o distruggere; ma riprendersi dallo smarrimento non risolve: non si trova infatti alcuna base dati riferibile ad un trattamento, perché in realtà nessun trattamento di dati personali c’è mai stato.
Lo zelo (e talvolta l’ostinazione) di tanti committenti nel conferimento sistematico alle proprie controparti contrattuali di nomine a responsabile del trattamento, senza porre la dovuta attenzione al concreto atteggiarsi dei rapporti contrattuali in essere, appare dettato spesso da una distorta interpretazione del principio di precauzione e dall’inclinazione a voler disperdere, quasi scientificamente, le responsabilità su più soggetti.
Ma il paradosso è in agguato e si manifesta, come talvolta accade, quando un committente (titolare) conferisce nomine a responsabile per contratti che a ben vedere non richiedono né riguardano trattamenti di dati personali; fino a casi limite nei quali si fa sì riferimento a trattamenti, ma trattamenti che lo stesso titolare neppure esegue.
La soluzione è nella corretta applicazione del GDPR
Le nomine approssimative e quelle meramente formali si traducono, prima o poi, in evidenti difficoltà per entrambi i protagonisti del rapporto contrattuale, allorquando ci si trovi di fronte a data breach con conseguenti contenziosi, richieste di indennizzi, denunce alle assicurazioni.
Ma la soluzione è semplice e consiste nella diligente e corretta applicazione del GDPR: affinché una controparte contrattuale sia riconoscibile come responsabile del trattamento, e come tale possa ricevere nomina, occorre anzitutto che vi siano effettivamente dei trattamenti di dati personali; nel corretto inquadramento del ruolo aiuta la riflessione che nella versione inglese del GDPR, il responsabile è il “processor”, traducibile anche come “esecutore” del trattamento.
Allora diventa chiaro che le attività di trattamento, per le quali si intende nominare il responsabile, dovranno essere individuate specificamente e, con un esplicito conferimento contestuale o integrativo, essere poste in relazione con l’oggetto principale del contratto, del quale diventano una parte significativa ed espressa.
Così lo stesso contratto, letto da altro punto di vista, costituisce il perimetro di azione del responsabile in nomina. Solo in questi casi diventa logico che la controparte contrattuale sia considerata e legittimamente nominata come responsabile del trattamento.
Si incorre in tutte le difficoltà descritte quando, invece, un committente ritiene di trovarsi di fronte ad un responsabile del trattamento presumendo che vi siano attività di trattamento come prestazioni collaterali, accessorie o implicite in prestazioni di altra natura.
La confusione è facile quando una controparte contrattuale – il “presunto responsabile” – viene in contatto in modo occasionale e sporadico con alcuni dati personali di alcuni interessati; cioè quelli che il suo committente gli comunica al fine di consentirgli la prestazione (ad es.: le generalità dei comparenti nel giudizio; ovvero il nominativo dell’utente che richiede assistenza tecnica ecc.).
In questi casi, normalmente, vi sono altri impianti ed istituti giuridici utili a vincolare alla riservatezza ed al segreto d’ufficio la controparte contrattuale; nominarla, invece, responsabile del trattamento secondo il GDPR, risulta essere davvero una forzatura, foriera di tutte le susseguenti difficoltà esposte.
