Vediamo quali sono i requisiti previsti dalla norma per la figura del responsabile del trattamento e scopriamo le risposte ai quesiti più comuni sulla possibilità o no di indicare come responsabile una figura interna all’organizzazione.
Così potrai avere un'utile indicazione sul miglior modo per scegliere il responsabile del trattamento e non subirlo.
Così potrai avere un'utile indicazione sul miglior modo per scegliere il responsabile del trattamento e non subirlo.
GDPR, COSA CI DICE IN MERITO AL RESPONSABILE DEL TRATTAMENTO
Il responsabile del trattamento (“data processor”) nel GDPR è definito all’art. 4, par. 1, n. 8) come “la persona fisica, giuridica, PA o ente che elabora i dati personali per conto del titolare del trattamento”.
GDPR, RESPONSABILE DEL TRATTAMENTO INTERNO O ESTERNO?
Il ruolo del responsabile del trattamento è chiaramente riservato ad un soggetto esterno all’azienda, con riferimento ai fornitori di servizi.
Infatti, vi è uno specifico obbligo di predisporre un contratto per la designazione delle responsabilità a carico del responsabile.
A livello europeo, inoltre, si è da sempre affermata l’idea che il responsabile del trattamento non possa essere un soggetto alle dipendenze del titolare.
In particolare, il WP29 ricorda che il titolare del trattamento può decidere di trattare i dati all’interno della propria azienda oppure delegare in tutto o in parte le attività di trattamento dati ad un soggetto esterno.
Quindi per agire come responsabile del trattamento occorre essere una persona giuridica distinta dal titolare e elaborare dati per conto di questi.
L’EDPB con le Linne guida del 2020 ha ricordato che le risorse coinvolte nel trattamento ed appartenenti all’organizzazione del titolare coincidono con il titolare stesso, o comunque potranno essere definite quali persone autorizzate o designate.
In conclusione, il responsabile del trattamento tratta i dati attenendosi alle istruzioni del titolare, assume responsabilità proprie e ne risponde alle autorità di controllo e alla magistratura.
Il titolare del trattamento, ovviamente, può distribuire incarichi interni (es. responsabile dell’area legale, dell’area marketing, ecc…), ma la responsabilità rimane sua.
GDPR, QUANDO IL TITOLARE DEVE INVIARE LA NOMINA?
Il GDPR (art. 28) non parla di nomina, bensì stabilisce che i trattamenti del responsabile debbano essere disciplinati da un contratto o altro atto giuridico che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
Il contratto (sostanzialmente un contratto di mandato) deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisca garanzie sufficienti, quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento.
Col contratto di elaborazione dati (anche DPA, Data Processing Agreement o Data Processing Addendum), in base a quanto stabilito dell’art. 28 del nuovo regolamento europeo, il titolare delega al responsabile la concreta gestione del trattamento, affidandogli uno o più compiti specifici oppure una serie di compiti dettagliati in generale.
Nella prassi è invalso l’uso che sia il responsabile a redigere un contratto che poi il titolare eventualmente accetterà dopo aver verificato che le garanzie fornite sono sufficienti.
Questo perché i titolari (cioè i clienti) non sempre sono in grado di stabilire concretamente quali garanzie sono applicabili ai servizi richiesti, e comunque per il fornitore valutare e conformarsi a contratti diversi per ogni cliente sarebbe defatigante.
Il titolare ha il dovere di ricorrere solo a responsabili che forniscono garanzie sufficienti per l’implementazione delle misure tecniche e organizzative adeguate, si tratta di una vera e propria fase di valutazione del rischio, e l’EDPB ricorda che il titolare deve prendere in considerazione:
- le conoscenze specialistiche del responsabile (es. competenze tecniche in materia di misure di sicurezza e violazioni dei dati);
- l’affidabilità del responsabile;
- le risorse in suo possesso.
Secondo l’EDPB l’obbligo di ricorrere a responsabili “che offrano garanzie sufficienti” è un obbligo “continuo”, cioé il titolare è tenuto a valutare il rischio anche successivamente alla stipulazione del contratto, anche mediante apposite ispezioni presso il responsabile.
La Commissione europea ha adottato le Clausole Contrattuali Standard per regolamentare i rapporti tra titolare e responsabile, sulla base del parere fornito dall’EPBD con l’opinione 14 del luglio 2019.
Ricordiamo che qualsiasi modifica al data processing agreement proposta nel corso del rapporto contrattuale deve essere notificata al titolare ed approvata da questo, non potendo la semplice pubblicazione sul sito web o la mera comunicazione via email sostituirne l’informazione e l’approvazione.
GDPR, OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO
Il responsabile ha obblighi di trasparenza.
In tal senso occorre contrattualizzare il rapporto tra titolare e responsabile, specificando gli obblighi e i limiti del trattamento dati.
Il responsabile riceverà, tramite l’atto giuridico (cioè per iscritto), tutte le istruzioni in merito ai trattamenti operati per conto del titolare, alle quali dovrà attenersi.
Inoltre, il responsabile del trattamento dovrà mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi che gli impone l’articolo 28 del Regolamento, e dovrà tenere il registro dei trattamenti svolti (ex art. 30, paragrafo 2, GDPR).
Poi, il responsabile ha l’obbligo di garantire la sicurezza dei dati.
Egli deve adottare tutte le misure di sicurezza adeguate al rischio (art. 32 GDPR), tra le quali anche le misure di attuazione dei principi di privacy by design e by default, dovrà inoltre garantire la riservatezza dei dati, vincolando i dipendenti, dovrà informare il titolare delle violazioni avvenute, e dovrà occuparsi della cancellazione dei dati alla fine del trattamento.
Sia il titolare del trattamento che il responsabile sono tenuti ad attuare le misure tecniche ed organizzative tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Si tratta di specifici requisiti previsti dal GDPR, che indica alcune misure di sicurezza utili per ridurre i rischi del trattamento, quali la pseudonimizzazione e la cifratura dei dati personali, la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Il responsabile può dimostrare le garanzie sufficienti anche attraverso l’adesione a codici deontologici ovvero a schemi di certificazione.
Inoltre, il responsabile ha l’obbligo di avvisare, assistere e consigliare il titolare.
Dovrà, quindi, consentire e contribuire alle attività di revisione, comprese le ispezioni (o audit), realizzate dal titolare del trattamento, dovrà avvisare il titolare se ritiene che un’istruzione ricevuta viola qualche norma in materia, dovrà prestare assistenza al titolare per l’evasione delle richieste degli interessati, dovrà avvisare il titolare in caso di violazioni dei dati, e assisterlo nella conduzione di una valutazione di impatto (DPIA).
GDPR, RESPONSABILITÀ E DANNI
Nel caso di trattamento in violazione delle norme del regolamento europeo, il responsabile risponde, congiuntamente al titolare, per il danno cagionato all’interessato, secondo quanto previsto dall’articolo 82.
Il responsabile risponde per il danno causato dal trattamento solo in caso di non corretto adempimento degli obblighi previsti dalle norme in capo al responsabile stesso, oppure se ha agito in modo difforme rispetto alle istruzioni del titolare del trattamento.
Le condotte non conformi al GDPR che determinino le finalità e i mezzi del trattamento (cioé se agisce come fosse titolare) producono l’effetto di qualificare il responsabile come titolare ipso iure del trattamento (art. 28 par. 10 GDPR).
Il Considerando 28 stabilisce, altresì, un obbligo in capo al responsabile di informare immediatamente il titolare del trattamento qualora ritenga un’istruzione fornitagli in violazione delle norme in materia di protezione dei dati personali, compreso le norme nazionali.
Di conseguenza il regolamento europeo configura, in capo al responsabile, un dovere generale di verifica e controllo generale della conformità delle procedure aziendali con conseguente responsabilità, in solido col titolare, nel caso di omesso controllo o omessa informazione al titolare.
Esemplificando il responsabile potrebbe rispondere nei casi in cui:
- travalica le istruzioni del titolare;
- agisce in contrasto con le istruzioni del titolare;
- non assiste il titolare (ad esempio per le violazioni dei dati o la valutazione di impatto);
- non pone a disposizione del titolare le informazioni necessarie per un audit;
- non informa il titolare che una sua istruzione è in violazione della normativa;
- pur essendovi obbligato, non designa il DPO;
- designa un sub-responsabile non essendo stato previamente autorizzato;
- designa un sub-responsabile che non offre garanzie sufficienti;
- non tiene il registro dei trattamenti.
Se più titolari o responsabili sono coinvolti nello stesso trattamento e sono responsabili del danno causato, ne rispondono in solido per l’intero danno, al fine di garantire l’intero risarcimento.
Ovviamente chi paga l’intera somma avrà diritto di regresso nei confronti degli altri responsabili per la quota.
Il titolare e il responsabile sono esonerati da responsabilità se dimostrano che l’evento dannoso non è imputabile alla loro condotta, o se dimostrano di aver adottato tutte le misure idonee per evitare il danno stesso.
Se hai necessità di approfondire ulteriormente la conoscenza della figura del responsabile del trattamento dati, o comunque di conformare la tua attività alle richieste del GDPR, evitando di rischiare sanzioni, scrivici all’indirizzo info@abinnovationconsulting.com, oppure compila i modulo seguente.
