Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

REGOLAMENTO UE

Responsabile del trattamento e sub-responsabile: ruoli, obblighi e inquadramento normativo

Il titolare del trattamento, protagonista del principio dell’accountability, si ritrova quotidianamente ad interagire col responsabile del trattamento che, a sua volta, ha un ruolo ben definito oltre a precisi obblighi e impregni gravanti sulla sua figura. Analizziamoli in dettaglio

23 Gen 2020
S
Manuela Suffada

Privacy Consultant


Quando si parla di GDPR la figura cui più spesso si fa riferimento è ovviamente quella del titolare del trattamento, protagonista del principio della “accountability”: nella realtà, tuttavia, i titolari si trovano ad interagire quotidianamente con un’altra figura, quella del responsabile esterno del trattamento.

Non si tratta di una figura nuova, già l’art.4 del vecchio Codice Privacy la prevedeva definendola come “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali”, articolo poi abrogato dal decreto di adeguamento al GDPR.

Chi è e che ruolo ha il responsabile del trattamento

Con l’ingresso del GDPR e del principio della “accountability” ex art.24 del Regolamento, il titolare deve effettuare lui in prima persona un’analisi del rischio, ovvero valutare tutti i possibili rischi che possono verificarsi in ordine ai dati trattati e adottare le misure di sicurezza adeguate in base al tipo di trattamento svolto.

Nel caso quindi in cui affidi il trattamento di dati ad un terzo esterno dovrà valutarne attentamente l’affidabilità ed il rischio che ne possa derivare e adottare di conseguenza tutte le misure di sicurezza necessarie.

Ma nella vita di quotidiana di impresa chi sono i terzi cui il titolare affida il trattamento di alcuni dati e che possono essere qualificati come responsabili esterni del trattamento ai sensi del GDPR?

Prendiamo la casistica più ricorrente, quale quella dei commercialisti incaricati della tenuta delle scritture contabili o del consulente paghe che elabora i cedolini dei dipendenti fino agli agenti di commercio incaricati della promozione e vendita dei prodotti di un’azienda e che per conseguenza trattino i dati dei clienti e potenziali clienti della stessa.

Fatta questa premessa, vediamo il ruolo del responsabile esterno del trattamento ai sensi del combinato disposto di cui agli art.28 GDPR e 81 dei Consideranda.

L’art.28 GDPR par 1 prevede che “qualora un trattamento debba essere effettuato per conto del titolare del trattamento quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

Il Considerando 81 prevede poi che: “Per garantire che siano rispettate le prescrizioni del presente regolamento riguardo al trattamento che il responsabile del trattamento deve eseguire per conto del titolare del trattamento, quando affida delle attività di trattamento a un responsabile del trattamento il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento.

L’applicazione da parte del responsabile del trattamento di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare il rispetto degli obblighi da parte del titolare del trattamento.

L’esecuzione dei trattamenti da parte di un responsabile del trattamento dovrebbe essere disciplinata da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare del trattamento, in cui siano stipulati la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, tenendo conto dei compiti e responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato.

Il titolare del trattamento e il responsabile del trattamento possono scegliere di usare un contratto individuale o clausole contrattuali tipo che sono adottate direttamente dalla Commissione oppure da un’autorità di controllo in conformità del meccanismo di coerenza e successivamente dalla Commissione.

Dopo il completamento del trattamento per conto del titolare del trattamento, il responsabile del trattamento dovrebbe, a scelta del titolare del trattamento, restituire o cancellare i dati personali salvo che il diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento prescriva la conservazione dei dati personali.

Da quanto sopra riportato emerge come rispetto al vecchio Codice Privacy vi siano degli elementi di novità.

Atto di nomina del responsabile: caratteristiche e contenuto

La prima novità consiste nell’indicazione che la nomina del responsabile debba avvenire mediante un atto con specifiche caratteristiche ed avente un contenuto minimo preciso.

L’art.28 GDPR par.3 e il Considerando 81 parlano di “contratto” o “altro atto giuridico” ed alla luce di questa indicazione si ritiene che l’atto di nomina debba avere la forma scritta ad substantiam.

La seconda novità rispetto al vecchio Codice Privacy concerne il contenuto di detto atto di cui vengono indicati i contenuti minimi ed essenziali. Sempre l’art.28 GDPR par.3 precisa che deve indicare “la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, tenendo conto dei compiti e responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato”.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Ritengo particolarmente significativo per il prossimo futuro il fatto che sempre il Considerando 81 precisi che: “L’applicazione da parte del responsabile del trattamento di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare il rispetto degli obblighi da parte del titolare del trattamento”.

Si capisce come i fornitori, professionisti, tutti coloro cui venga esternalizzato il trattamento dei dati da parte dei titolari saranno più competitivi gli uni nei confronti degli altri ove abbiano aderito a codici di condotta che permetteranno ai titolari di sceglierli sapendo già di essere in compliance con il GDPR e quindi di assolvere più facilmente ai propri doveri in materia di “accountability”.

Anche il discorso delle certificazioni in materia di GDPR che inizia ad emergere potrà aiutare in tal senso per le medesime ragioni e favorire alcuni fornitori rispetto ad altri nella scelta che faranno i titolari.

Impegni gravanti sul responsabile del trattamento

Ultima e significativa novità introdotta dal GDPR è la previsione di impegni specifici gravanti sul responsabile esterno del trattamento. Così il par.3 art.28 GDPR prevede che il responsabile del trattamento:

“a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

c) adotti tutte le misure richieste ai sensi dell’articolo 32;

d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;

e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;

f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e

h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato”.

Particolarmente rilevante è poi la disposizione dell’art.28 par.10 GDPR ai sensi del quale “Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione”.

L’istruzione documentata quindi da parte del titolare deve essere vista quindi sia nell’interesse primario del titolare che così può dimostrare di aver assolto ai suoi doveri in termini di “accountability”, ma deve essere in primis richiesta e pretesa dal responsabile esterno stesso del trattamento che può così venire riconosciuto come tale e non rischiare di essere considerato un titolare de facto del trattamento.

Nella pratica applicazione del GDPR inizialmente si vedeva una certa ritrosia da parte dei professionisti e fornitori cui venisse esternalizzato il trattamento dei dati a sottoscrivere le nomine e ricevere le istruzioni da parte dei titolari. A distanza di mesi la situazione sta iniziando a cambiare e sempre più spesso i terzi interessati comprendendo l’importanza e la necessità di tale atto hanno predisposto delle “autonomine” che vengono inviate ai clienti al momento della sottoscrizione dei contratti e incarichi.

Obblighi per il responsabile del trattamento

Una volta che il titolare abbia nominato il responsabile esterno del trattamento, il GDPR prevede poi una serie di obblighi e responsabilità specifici in capo al responsabile stesso, che proviamo qui a illustrare brevemente.

L’art.27 GDPR prevede che il responsabile del trattamento debba designare per iscritto un Rappresentante nell’Unione nel caso in cui ai sensi dell’art.3 par.2 GDPR si occupi del “trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: (C23, C24) a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”.

L’art.27 GDPR par.2 prevede tuttavia anche che il suddetto obbligo non si applichi:

a) al trattamento se quest’ultimo è occasionale, non include il trattamento, su larga scala, di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10, ed è improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche, tenuto conto della natura, del contesto, dell’ambito di applicazione e delle finalità del trattamento; oppure

b) alle autorità pubbliche o agli organismi pubblici”.

L’art.27 par.3 precisa che l’eventuale rappresentante è stabilito in uno degli Stati membri in cui si trovano gli interessati e i cui dati personali sono trattati nell’ambito dell’offerta di beni o servizi o il cui comportamento è monitorato.

Nella sostanza il GDPR prevede che il rappresentante del responsabile del trattamento funga da interlocutore, in aggiunta o in sostituzione del responsabile del trattamento, in particolare delle autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento, si tenga ben presente tuttavia che la designazione di un rappresentante fa salve le azioni legali che potrebbero essere promosse contro lo stesso titolare responsabile del trattamento.

Il Responsabile del trattamento dovrà poi tenere il proprio registro dei trattamenti (art.30 par.2 GDPR), dovrà cooperare con autorità di controllo (art.31 GDPR), dovrà a sua volta adottare le misure tecniche e organizzative per garantire la sicurezza (art.32 GDPR), informare il titolare nel caso di data breach (art. 33 par.2 GDPR), assistere il titolare nella valutazione d’impatto (art.28 e 35 GDPR) e nominare un DPO nei casi previsti (art.37 GDPR).

A livello di responsabilità si evidenzia come ai sensi dell’art.82 GDPR “chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

Inoltre, un responsabile del trattamento risponde per il danno causato dal trattamento “solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento”.

Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo art.82 par.2 solo se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

La figura del sub-responsabile

Merita soffermarsi infine su un ulteriore figura connessa a quella del responsabile del trattamento, ovvero quella del sub-responsabile, che interviene quando il responsabile del trattamento esternalizzi a sua volta il trattamento dei dati delegatogli dal titolare.

Guida fondamentale su tale argomento è il Parere 1/10 del “Working Party 29”, ove viene precisato che nel caso in cui il titolare affidi il trattamento dei dati a più responsabili del trattamento, gli obblighi e le responsabilità derivanti dalla legislazione in materia di protezione dei dati devono essere chiaramente attribuiti per evitare che si disperdano in una catena di sub-responsabili, cosa che impedirebbe di fatto un effettivo controllo e l’individuazione di chiare responsabilità di trattamento.

Inoltre, il Garante Italiano è intervenuto con il c.d. “provvedimento sugli RFID” del 2012 prescrivendo alcune misure necessarie ed opportune proprio con riferimento all’intervento di un sub-responsabile:

  • è necessario una preventiva informazione al titolare da parte del responsabile della designazione di un sub-responsabile e l’ottenimento del suo consenso;
  • è necessario un accordo scritto fra responsabile e sub-responsabile che prescriva il rispetto dei medesimi obblighi cui il responsabile stesso è vincolato in virtù della sua nomina da parte del titolare;
  • è necessaria la predisposizione da parte del Responsabile di un elenco aggiornato da parte del responsabile dei contratti chiusi con i propri sub-responsabili.

Il GDPR da ultimo all’art.28 par.2 ha accolto tutte queste indicazioni disponendo che “il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione” da parte del titolare, il quale può rilasciare una autorizzazione comunque scritta o specifica o generale”.

Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Mobility
Sicurezza

Infine, significativa la previsione in materia di responsabilità l’art.28 par.4 GDPR ai sensi del quale “qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5