Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

MODELLO PRIVACY

La nomina a responsabile al trattamento dei dati, tra insidie e best practice

L’adeguamento al GDPR impone di elaborare e sottoscrivere una lettera di nomina a responsabile al trattamento dati quanto più pertinente e adeguata al tipo di trattamento effettuato dal titolare. Ecco le best practice per raggiungere l’indispensabile compliance al Regolamento UE

04 Lug 2019
C

Marco Cassaro

Senior Advisory Risk & Compliance presso BDO Italia S.p.A.


Elaborare e sottoscrivere una lettera di nomina a responsabile al trattamento dei dati quanto più possibile pertinente e adeguata è fondamentale. Troppo spesso titolari del trattamento, responsabili al trattamento dei dati e responsabili della protezione dei dati (RPD o DPO) si trovano di fronte ad accordi posticci e male confezionati.

Con l’intento di sottolineare come, nella tutela e protezione del dato, “copiare non giova”, ecco quali sono gli elementi chiave richiesti dalla normativa, nonché le best practice da seguire.

Nomina a responsabile al trattamento: dettato normativo

Il Regolamento UE 679/2016, cosiddetto GDPR, ha introdotto con l’art. 28 una serie di adempimenti formali e sostanziali che il titolare del trattamento deve porre in essere al fine di gestire correttamente il rapporto con qualsiasi responsabile al trattamento di cui si avvale.

Lasciando da parte il concetto e la nozione di responsabile al trattamento di cui tanto ancora si dibatte e che non è possibile analizzare in tale sede in modo esaustivo (nozione da tenere ben a mente quando si valuta il rapporto con la controparte terza) e non potendo esimersi dal riportare quanto la normativa a riguardo richiede, si sottolinea come l’art. 28 comma (1) e comma (3) preveda a carico del titolare del trattamento due oneri sostanziali:

  1. la verifica e il ricorso da parte del titolare del trattamento “unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”;
  2. la stipulazione di un contratto o di un altro atto giuridicoa norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.

Focalizzandosi preliminarmente sull’ordine sequenziale che la normativa attribuisce agli oneri pratici da porre in essere, si segnala come non a caso viene richiesto che la verifica da parte del titolare delle garanzie sufficienti del responsabile sia antecedente alla stipulazione del contratto o di altro atto giuridico.

Infatti, nel rispetto di un ragionamento logico e del principio della protezione dei dati fin dalla progettazione (a norma dell’art. 25 del GDPR) tale verifica e gli esiti positivi della stessa dovrebbero essere il fondamento giustificativo del successivo trattamento del dato da parte del soggetto terzo e del relativo affidamento.

A tal riguardo e trovando troppo spesso atti di nomina scevri da qualsiasi richiesta da parte del titolare del trattamento delle misure tecniche ed organizzative così come anche di accordi di nomina privi di qualsiasi contenuto, si ricorda, al fine di fugare ogni dubbio, come gli adempimenti richiesti debbano essere posti in essere congiuntamente e che la mancanza dell’uno o dell’altro non fa altro che esporre il titolare stesso ad eventuali sanzioni così come previsto da art. 83 comma (4) lett. a) secondo il quale la violazione degli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43 è soggetta a sanzioni amministrative pecuniarie fino a 10 milioni di euro o, per le imprese, fino al 2 % del fatturato mondiale totale annuo, se superiore.

Il punto di partenza, dunque, per qualsiasi ragionamento logico all’interno del binomio titolare/responsabile deve essere quello secondo cui l’interessato affida temporaneamente il controllo dei suoi dati personali al titolare il quale, in un’ottica di culpa in eligendo e di culpa in vigilando, deve sempre essere in grado di dimostrare non solo formalmente ma anche sostanzialmente di aver posto in essere tutte le azioni necessarie per tutelare la fiducia concessa dall’interessato, soprattutto nel momento in cui si avvale di soggetti terzi per il relativo trattamento.

Breve menzione merita, infine, il considerando 81 che accompagna l’art. 28 e che di fatto rafforza il concetto secondo il quale quando il titolare del trattamento affida delle attività di trattamento a un responsabile del trattamento, lo stesso dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del Regolamento, anche per la sicurezza del trattamento.

La struttura dell’atto di nomina: muoviamoci con cautela

Molto facile sarebbe riportare pedissequamente quanto contenuto all’art. 28 in relazione alla struttura e ai contenuti dell’atto, ma ciò su cui ci si deve concentrare ad un anno dall’entrata in vigore del GDPR è certamente il riconoscimento delle cattive abitudini e il preoccuparsi di fornire a ciascun contratto o atto giuridico di nomina da sottoscrivere, quel carattere sostanziale e non solo formale che il Regolamento e l’Autorità Garante oggi richiedono.

Segnalando dunque una bad practice comune, è fondamentale ricordare come nella privacy “copiare non giova” e dunque utilizzare check list di valutazione o ancora peggio atti di nomina ricavati sul web, senza minimamente valutare se quel format sia applicabile mutatis mutandis alla realtà che si cerca di regolamentare, non è minimamente conforme a quel concetto di accountability tanto caro al GDPR e validamente indicato all’art. 24.

Cercando quindi di fornire un suggerimento il più chiaro e diretto possibile, sarebbe auspicabile elaborare check list e atti di nomina quanto più pertinenti e adeguati (prendendo magari anche spunto da quanto l’internet ci concede ma sempre in un’ottica prudenziale):

  • al rapporto che si viene ad instaurare con il responsabile al trattamento,
  • al tipo di dati trattati (personali, particolari e giudiziari),
  • alle tipologie di soggetti interessati ed inevitabilmente alle finalità di trattamento,

tenuto anche conto che tramite l’accordo giuridico sottoscritto, il titolare delega al responsabile la concreta gestione del trattamento dei dati a suo tempo affidati dall’interessato.

Ben venga una riproduzione più o meno letterale della norma e dei punti da a) ad h) dell’art. 28 comma (3) ma certamente più corretta sarebbe l’enucleazione specifica e pertinente:

  • delle istruzioni documentate,
  • della durata del trattamento,
  • della natura e delle finalità del trattamento,
  • del tipo di dati personali e delle categorie di interessati,

i cui dati si riferiscono che forniscono all’atto di nomina quel carattere operativo ed effettivo che la norma richiede e che in sua assenza renderebbe l’atto stesso una mera opera formale.

Inutile e controproducente sono accordi di nomina a responsabile al trattamento formalmente corretti ma sostanzialmente privi di qualsiasi requisito di operatività.

Infatti, l’anomalia costante secondo la quale ad oggi vi sia ancora poca consapevolezza sui contenuti dell’accordo e su come una mera riproposizione della norma non sia la formalizzazione corretta di quelle istruzioni documentate che la normativa richiede all’art. 28 comma (3) lett. a), fa presupporre in modo preoccupante come vi sia ancora poca attenzione su ciò che si attesta e si sottoscrive.

La consapevolezza di quanto formalizzato è elemento responsabilizzante di fronte a:

  1. responsabili della protezione dati che da qui a breve inizieranno, per conto dei rispettivi titolari del trattamento, le loro verifiche sulla moltitudine di responsabili al trattamento nominati;
  2. a eventuali ispezioni da parte dell’Autorità Garante, per il tramite della Guardia di Finanza e del Nucleo Speciale Privacy.

Infine, non ci dimentichiamo che molto spesso l’atto di nomina viene sottoposto all’attenzione del responsabile al trattamento, come allegato ad un contratto di servizio sottoscritto o da sottoscrivere.

Pertanto, risulta una buona prassi inserire o modificare all’interno dell’accordo di servizio il relativo articolo in materia di tutela e protezione dei dati, da non confondere con l’informativa privacy, che vada ad indicare il rapporto tra le parti e che richiami l’atto di nomina a responsabile al trattamento e la valutazione delle garanzie poste in essere dal responsabile, come fonte di specificazione ed approfondimento.

L’annosa questione dell’altro responsabile al trattamento dei dati

Ulteriore aspetto spinoso, tenute ferme le formalità da porre in essere, sono le conseguenze operative nel medio/lungo periodo dell’annosa questione dell’altro responsabile al trattamento dei dati più comunemente conosciuto come sub-responsabile al trattamento dei dati.

A tal riguardo, la normativa è altrettanto chiara e trova la sua formalizzazione all’interno dell’art. 28 comma (2) e comma (4), secondo i quali:

  • il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche”;
  • quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento […], prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile”.

Troppo spesso titolari e responsabili al trattamento sottovalutano suddette disposizioni senza interessarsi minimamente a come, in caso di utilizzo di altro responsabile al trattamento, la filiera del dato non si ferma ai loro obblighi e responsabilità ma va costantemente tenuta sotto controllo nel rispetto di quella fiducia più volte richiamata nel presente articolo e concessa dall’interessato.

Non dimentichiamoci che il data subject è sempre pronto ad esercitare i propri diritti e che la possibilità di un evento di violazione dei dati personali, cosiddetto data breach, non è così remota come si pensi.

Dunque, una corretta gestione del flusso del dato e degli adempimenti richiesti da normativa permette al titolare ed al responsabile di agire tempestivamente e di non trovarsi impreparati di fronte a situazioni che vanno gestite prontamente.

Nomina a responsabile al trattamento: profili sanzionatori

Meritevole di menzione, infine, è sicuramente la disposizione in materia di responsabilità contenuta all’art 82 che, al comma 2, di fatto riporta la ripartizione delle responsabilità tra titolare e responsabile senza lasciare dubbio alcuno su chi è sanzionabile per cosa e quali sono le esenzioni di responsabilità.

A mero titolo informativo si ricorda che:

  1. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il Regolamento”;
  2. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del Regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento”.

Nonostante la norma risulti chiara, anche in materia di profili sanzionatori, l’operato dei titolari del trattamento è alquanto fantasioso e poco incline all’articolo ut supra richiamato.

Lo stesso, infatti, viene molto spesso abilmente interpretato e rimodellato con l’obiettivo di far ricadere in capo al responsabile al trattamento dei dati qualsiasi tipo di responsabilità in relazione al trattamento affidato.

Inoltre, non vanno dimenticati i profili di esenzione di responsabilità che esistono e sono formalizzati. Infatti, il titolare del trattamento o il responsabile del trattamento sono esonerati dalla responsabilità se dimostrano che l’evento dannoso non gli è in alcun modo imputabile.

Attenzione quindi a sottoscrivere accordi senza il dovuto riguardo alle disposizioni in materia di responsabilità.

Molte altre considerazioni potrebbero essere svolte in relazione a questo rapporto tanto controverso quanto sottovalutato, ma ciò che deve essere chiaro è che la gestione della tutela e protezione del dato non è affare a breve termine e che una formale gestione oggi non significa accountability per il domani.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5