Uno dei temi che si sta rivelando complesso da gestire nella Data Protection è la nomina a responsabile esterno del trattamento dei dati personali ai sensi del’art.28 del GDPR. La complessità è data da una interpretazione formale della nomina senza cogliere il cambio di prospettiva del GDPR che pretende di concretizzare la protezione dei dati superando l’approccio formale di precedenti normative. L’art. 28, come ricorda l’articolo “Come redigere un atto di nomina a responsabile del trattamento”, definisce i contenuti minimi che l’atto dovrebbe avere. Si tratta di contenuti volti a garantire un perimetro di protezione dei dati personali e stimolare il titolare a presidiare alcune tematiche e istituti essenziali, come l’art. 32 e le misure di sicurezza organizzative e tecniche, oppure definire le modalità di cancellazione dei dati dopo il termine dell’incarico, per citarne alcuni. Sempre più frequentemente cominciano ad apparire nelle nomine ai sensi dell’art. 28 clausole di manleva dove il titolare del trattamento dei dati personali cerca di delimitare un perimetro di responsabilità ulteriore del responsabile.
Indice degli argomenti
Titolare e responsabile devono collaborare per proteggere i dati
Oltre ai contenuti, che potremmo definire predefiniti dal legislatore europeo, le parti, soprattutto il titolare, possono inserire altre clausole a supporto della strategia di protezione dei dati personali. Difatti, titolare e responsabile devono collaborare per proteggere i dati personali. Questo aspetto di reciproca collaborazione e supporto lo si evince dalla lettera h) del paragrafo 3 dell’art. 28 dove si afferma che “Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.”
È evidente un ciclo ricorsivo dove le parti si supportano reciprocamente per un obbligo e un interesse superiore, la protezione dei dati personali.
Va sottolineato che sempre più frequentemente cominciano ad apparire nelle nomine ai sensi dell’art. 28 clausole di manleva dove il titolare del trattamento dei dati personali cerca di delimitare un perimetro di responsabilità ulteriore del responsabile. Mentre non meritano attenzione le clausole di manleva da responsabilità penale per l’ovvia assurdità, quelle invece dove si combinano elementi tipicamente civilistici sollevano qualche perplessità perché potrebbe configurare una limitazione o riduzione dei diritti degli interessati.
Il GDPR e la responsabilità
Ricordiamo infatti che il GDPR tratta le tematiche di responsabilità in alcuni articoli, tra i quali il paragrafo 10 dell’art. 28 e l’art.82.
Se la fattispecie dell’art. 28 è sicuramente residuale ed eccezionale, l’art. 82 non lascia dubbi sul perimetro di responsabilità e di conseguenza di tutela che definisce per le persone lese:
1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
Come si può leggere uno schema chiaro arricchito da un passaggio fondamentale del Considerando 146: “Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito. Qualora i titolari del trattamento o i responsabili del trattamento siano coinvolti nello stesso trattamento, ogni titolare del trattamento o responsabile del trattamento dovrebbe rispondere per la totalità del danno.”
Come si può leggere l’aspettativa del legislatore è di una piena protezione dell’interessato, per di più coerentemente con la legislazione a tutela del consumatore (figure che spesso coincidono). E come appare nel Considerando non può trarre in inganno l’espressione “ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento” perché l’intero costrutto normativo sottolinea che il responsabile tratta dati per conto del titolare. L’interesse del responsabile è accessorio all’esecuzione di un contratto di servizi.
Le clausole di manleva
Sorge quindi il dubbio che clausole che disegnano un perimetro dove si intacchi la responsabilità in solido potrebbero ledere i diritti degli interessati. D’altra parte, le clausole di manleva nascono dal timore di dover essere considerati responsabili per errori commessi dal responsabile esterno, ma lo stesso GDPR definisce alcuni paletti proprio per evitare sovraccarichi.
Prima di tutto il paragrafo 3 dell’art. 82 libera senza ombra di dubbio il soggetto che non può essere responsabile, ma deve dimostrarlo. La condizione della dimostrazione è necessaria per mantenere la coerenza di tutela degli interessati e soprattutto del valore dei dati personali nell’ordinamento giuridico europeo.
A una prima lettura questa condizione potrebbe apparire molto svantaggiosa, ma in realtà la protezione dei dati personali richiede processi e controlli molto serrati tali per cui se vi è una corretta gestione della privacy policy, non sarà difficile ricostruire gli eventi e determinare le responsabilità. Si tratta di una attività pericolosa.
Il paragrafo 2 d’altra parte delimita anche le varie responsabilità del titolare e del responsabile ricordando e sottolineando che gli obblighi del Regolamento e le istruzioni del titolare dovrebbero essere le bussole del responsabile. D’altra parte, come abbiamo visto, quest’ultimo proprio in osservanza del GDPR deve segnalare al titolare quando le sue istruzioni potrebbero violare gli obblighi del Regolamento.
Un processo circolare che consente di fare alcune riflessioni:
- le clausole di manleva non possono rompere il costrutto del legislatore europeo perché non risulta nel Regolamento tale facoltà
- il trattamento dei dati personali è attività pericolosa e i principi già espressi nella Direttiva 46/95/CE sono stati replicati
- rompere il costrutto del legislatore europeo lederebbe le leve di tutela riconosciute agli interessati
- lo stesso Regolamento prevede come e quando i due soggetti coinvolti, titolare e responsabile, possono non essere responsabili
Il privacy manager come lo stesso DPO dovrebbero presidiare queste clausole per garantire sempre i diritti degli interessati. È nella corretta pratica della protezione dei dati personali che il titolare e il responsabile possono tutelare loro stessi e i loro patrimoni.
@RIPRODUZIONE RISERVATA
