La scelta del titolare del trattamento di esternalizzare un servizio se, in alcuni casi, si presenta come un’esigenza che si verifica frequentemente, al contempo, dev’essere opportunamente vagliata, stante gli obblighi che il GDPR introduce, la cui inosservanza produce significative conseguenze.
Partendo dal presupposto dell’obbligo, per il titolare del trattamento, di curare con la dovuta accortezza la scelta dei propri ‘delegati’, affidatari di attività di trattamento, con il GDPR nasce il Data Processing Agreement, il contratto o altro atto vincolante tra titolare del trattamento e responsabile del trattamento sul trattamento dei dati. Tuttavia non sempre è semplice individuare, con precisone ed esattezza, i ruoli privacy e, quindi, ripartire tra le parti gli imprescindibili adempimenti e i correlati obblighi a presidio dei diritti e le libertà fondamentali delle persone fisiche. Pertanto, al tal fine, intervengono le Linee Guida dell’EDPB (European Data Protection Board).
Indice degli argomenti
Il responsabile e i suoi rapporti con il titolare del trattamento
Il GDPR dedica il Capo IV al “titolare del trattamento” e al “responsabile del trattamento”, prevedendo degli “obblighi generali”, su di essi incombenti, nella Sezione 1. Con specifico riferimento al responsabile del trattamento (oggetto della presente indagine) occorre richiamare l’art. 28 (incentrato sul suo ruolo nell’ambito delle attività di trattamento e sul suo rapporto con il titolare), l’art. 29 (per i trattamenti sotto la sua autorità), l’art. 30, par. 2 (in merito all’obbligo della tenuta del registro delle attività di trattamento), l’art. 31 (in tema di cooperazione con l’autorità di controllo).
È previsto, quindi, come obbligo generale che qualora il titolare del trattamento scelga di affidare il trattamento dei dati a un soggetto determinato (esternalizzazione di un servizio) dovrà ricorrere «‘unicamente’ a responsabili del trattamento che presentino ‘garanzie sufficienti’ per mettere in atto misure tecniche e organizzative ‘adeguate’ in modo tale che il trattamento soddisfi i requisiti del [presente] regolamento e garantisca la tutela dei diritti dell’interessato» (art. 28, par. 1, e considerando 81). Il regolamento europeo, con la presente disposizione, ha voluto configurare una nuova (ma non sconosciuta dal nostro ordinamento) ipotesi di culpa in eligendo, positivizzando un evidente ed inequivocabile avvertimento per i titolari del trattamento circa la scelta del responsabile trattamento, così preannunziando il rimprovero ai titolari stessi per il fatto di non aver curato con la dovuta accortezza la scelta dei propri ‘delegati’, affidatari di attività di trattamento.
D’altronde il regolamento in parola pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) dei titolari del trattamento, a quali viene affidato il compito del rispetto dei principi applicabili al trattamento dei dati personali unitamente al dovere di essere in grado di comprovarlo (art. 5, par. 2, art. 24 e considerando 74). Ed è per questo che proprio al fine di tutelare il titolare del trattamento – tenuto all’osservanza del suddetto principio di “responsabilizzazione” – il par. 2, dell’art. 28, prevede che non è consentito al responsabile del trattamento ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento (così sancendosi la regola che il nostro codice civile stabilisce in tema di subappalto nell’art. 1656, ossia l’autorizzazione del committente affinché l’appaltatore possa dare in subappalto l’esecuzione dell’opera o del servizio). Nella stessa direzione anche il par. 4 dell’articolo in disamina che impone, attraverso il contratto o un altro atto giuridico, al sub-responsabile gli stessi obblighi di protezione dei dati contenuti nel contratto o nell’altro atto giuridico in essere tra titolare e responsabile; oltre all’ulteriore previsione che qualora il sub-responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi del sub-responsabile.
Circa la dimostrazione delle garanzie sufficienti di cui ai suddetti paragrafi (1 e 4) viene previsto che l’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare dette garanzie. Sul punto, le Linee Guida individuano tra i parametri la valutazione delle conoscenze specifiche da parte del fornitore (ad es. con riguardo alle misure tecniche e alla gestione dei data breach), l’affidabilità dello stesso, le sue risorse e, appunto, l’eventuale aderenza a codici di condotta e meccanismi di certificazione.
In quest’ottica l’art. 28, par. 3, prevede che ci debba essere un atto (contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, anche detto Data Processing Agreement) con il quale si disciplini l’esecuzione delle attività di trattamento che il titolare affida al responsabile, che ‘vincoli’ questi al titolare e ‘stipuli’ la «materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento». Tale atto (stipulato in forma scritta, anche in formato elettronico, come prevede il par. 9) può basarsi, in tutto o in parte, su clausole contrattuali tipo (par. 6, art. 28) di cui ai paragrafi 7 (ossia quelle clausole stabilite dalla Commissione secondo la procedura d’esame di cui all’art. 93, par. 2) e 8 (ossia quelle clausole adottate da un’autorità di controllo in conformità del meccanismo di coerenza di cui all’art. 63). Sul punto anche il considerando 81 prevede che «il titolare del trattamento e il responsabile del trattamento possono scegliere di usare un contratto individuale o clausole contrattuali tipo che sono adottate direttamente dalla Commissione oppure da un’autorità di controllo in conformità del meccanismo di coerenza e successivamente dalla Commissione». In merito le Linee Guida prevedono che i responsabili possono scegliere di negoziare ogni singola clausola oppure di utilizzare, in tutto o in parte, delle clausole contrattuali standard, ciò che rileva è che includano gli elementi richiesti dall’art. 28 GDPR, ma evitando di riportare pedissequamente il dettato normativo, quanto piuttosto includendo informazioni specifiche e concrete su come i requisiti richiesti dall’art. 28 sono rispettati, nonché il livello di sicurezza richiesto per lo specifico trattamento di dati personali oggetto del contratto.
Gli elementi del contratto o altro atto giuridico
In particolare, il contratto o altro atto giuridico ai sensi della citata disposizione deve contenere (in base al par. 3, secondo periodo) i seguenti elementi:
a) l’obbligo di trattare i dati soltanto previa istruzione documentata da parte del titolare del trattamento, anche in caso di trasferimento di dati verso un paese terzo o un’organizzazione internazionale, a meno che non sia richiesto in conformità del diritto dell’UE o nazionale cui è sottoposto il responsabile del trattamento, poiché in tale ipotesi sarà sufficiente informare il titolare del trattamento circa l’esistenza dell’obbligo prima del trattamento stesso, salvo che il diritto non vieti tale informazione per “rilevanti motivi di interesse pubblico”;
b) la garanzia che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
c) che siano adottate tutte le misure richieste per la sicurezza del trattamento, ai sensi dell’art. 32 del GDPR;
d) che siano rispettati gli obblighi previsti nei paragrafi 2 (autorizzazione scritta del titolare per la nomina di un sub-responsabile) e 4 (imposizione, con contratto o altro atto giuridico, al sub-responsabile degli stessi obblighi di protezione dei dati contenuti nel contratto o nell’altro atto giuridico in essere tra titolare e responsabile) per ricorrere alla nomina di un altro responsabile del trattamento;
e) la previsione, in relazione alla natura del trattamento, che il responsabile assista il titolare con misure e tecniche organizzative, al fine di soddisfare l’obbligo di quest’ultimo di soddisfare le richieste dell’interessato per l’esercizio dei suoi diritti;
f) fornire assistenza al titolare del trattamento nell’ambito degli obblighi che fanno capo al titolare, attinenti alla sicurezza del trattamento (art. 32) ed alla consultazione preventiva (art. 36);
g) su scelta del titolare del trattamento, la cancellazione o restituzione da parte del responsabile di tutti i dati personali al termine della prestazione dei servizi relativi al trattamento, salvo che il diritto dell’Unione o degli Stati membri non preveda la conservazione dei dati;
h) mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un soggetto da questi incaricato.
Con riguardo a tale ultimo punto, il responsabile del trattamento deve informare immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.
L’art. 28 in commento si chiude con la previsione di cui al par. 10, per la quale: «fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il […] regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione».
Coerentemente il successivo articolo 29 prevede che il responsabile del trattamento (ma anche chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento) che abbia accesso a dati personali può trattare tali dati solo se è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
Obblighi e facoltà del responsabile del trattamento
Il GDPR prevede obblighi specifici in capo al (o ai) responsabile(i) del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare, la tenuta del registro dei trattamenti svolti sotto la sua responsabilità (ex art. 30, par. 2), per dimostrare che si conforma al regolamento (cfr. considerando 82), con obbligo di cooperare con l’autorità di controllo e di mettere, su richiesta, detto registro a sua disposizione affinché possa servire per controllare detti trattamenti (art. 31 e considerando 81); l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32); la designazione di un responsabile della protezione dei dati nei casi previsti (si veda l’art. 37). Viene previsto anche che il responsabile del trattamento non stabilito nell’UE dovrà designare un rappresentante in Italia quando ricorrono le condizioni di cui all’art. 27, par. 3, diversamente da quanto prevedeva l’art. 5, comma 2, del previgente d.lgs. n. 196/2003.
Infine, in linea con quanto previsto dall’art. 29 del GDPR, nell’ambito del trattamento sotto l’autorità del titolare o del responsabile, l’art. 2-quaterdecies del vigente Codice Privacy prevede la possibilità che sotto il proprio assetto organizzativo e, soprattutto, sotto la propria responsabilità, tramite le modalità più opportune, il titolare ed il responsabile possano attribuire determinate funzioni e compiti, per il trattamento dei dati, a persone fisiche appositamente designate (c.d. “soggetti autorizzati”). In sostanza, questa figura sostituisce l’incaricato, previsto dall’art. 30, del previgente Codice Privacy, la cui disciplina è stata abrogata dal d.lgs. n. 101/2018.
L’importanza dei ruoli privacy per il GDPR
Disciplinare l’esecuzione dei trattamenti che un titolare del trattamento affida a un responsabile del trattamento e, quindi, prevedere le istruzioni che il primo dà al secondo, richiede, in primis, l’esatta individuazione delle attività di trattamento, che è, poi, fondamentale per l’esatta individuazione dei ruoli privacy nel GDPR. Difatti, è sulla scorta delle rispettive attività di trattamento dei dati personali che è possibile definire i ruoli privacy alla luce della normativa vigente. Occorre tener presente che l’esatta individuazione dei ruoli privacy svolge un ruolo cruciale nell’applicazione del GDPR e il Data Processing Agreement rappresenta uno strumento essenziale per dimostrare il perimetro di responsabilità di ciascun soggetto nell’eventualità di danni e di conseguenti richieste di risarcimento da parte dell’interessato, secondo quanto previsto dall’articolo 82 del GDPR.
L’articolo 28, par. 3, come sopra esposto, contiene un’elencazione degli elementi che devono essere presenti nei contratti (o negli altri atti giuridici) tra titolare e responsabile. Un contratto robusto rappresenta uno strumento essenziale per dimostrare il perimetro di responsabilità di ciascun soggetto nell’eventualità di danni e di conseguenti richieste di risarcimento da parte dell’interessato secondo quanto previsto dall’articolo 82 del GDPR. In particolare, è fondamentale evidenziare che l’articolo 82, par. 2, del GDPR prevede che un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi del GDPR specificatamente diretti a sé stesso, oppure nel caso in cui abbia agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. Pertanto, un titolare del trattamento può essere esonerato dalla responsabilità qualora abbia specificato in modo analitico i compiti e gli obblighi del responsabile del trattamento in un contratto ai sensi dell’articolo 28 del GDPR e il responsabile abbia agito in violazione di tale contratto. Tale conclusione è coerente con quanto previsto dall’articolo 82, par. 3, del GDPR, che prevede l’esonero dalla responsabilità del soggetto che dimostra che l’evento dannoso non gli è in alcun modo imputabile.
Oltre al risarcimento del danno, il mancato rispetto delle disposizioni e dei vincoli imposti dal GDPR può dar luogo all’applicazione della sanzione amministrativa pecuniaria sino all’importo di 10milioni di euro [articolo 83, par. 4, lett. a) del GDPR]. Il concreto ammontare della citata sanzione è quantificato in base ai criteri definiti dall’articolo 83, par. 1, e 83, par. 2, del GDPR.
È opportuno segnalare che l’art. 15 del d.lgs. n. 101/2018 prevede la modifica dell’art. 166 del Codice Privacy («Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimenti correttivi e sanzionatori»), all’interno del quale è fatto espresso rinvio alle sanzioni amministrative indicate dall’art. 83 del GDPR, ad esclusione dei trattamenti svolti in ambito giudiziario per i quali non è prevista l’applicazione delle sanzioni amministrative. In materia di sanzioni amministrative, l’art. 22, comma 13, del d.lgs. n. 101/2018 dispone(va) che “per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”.
Inoltre, a seconda delle ipotesi, ai sensi del d.lgs. n. 101/2018, potranno trovare applicazione le nuove disposizioni del Codice Privacy relative agli illeciti penali, in particolare:
– l’art. 167 del Codice Privacy (“Trattamento illecito dei dati”);
– l’art. 167-bis del Codice Privacy (“Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala”);
– l’art. 172 del Codice Privacy (“Pene accessorie”).
@RIPRODUZIONE RISERVATA
