di Marco CASSARO
LA CORRETTA DESIGNAZIONE DEL RESPONSABILE AL TRATTAMENTO DEI DATI EX ART. 28 DEL GDPR
Lasciando da parte il concetto e la nozione di Responsabile al trattamento (nozione da tenere ben a mente quando si valuta il rapporto con la controparte terza) e concentrandosi su quanto riporta la normativa per la corretta gestione del rapporto tra le parti in causa, si sottolinea come l’art. 28(1) comma (1) e comma (3) preveda a carico del Titolare del trattamento due oneri sostanziali:
- la verifica ed il ricorso da parte del Titolare del trattamento unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato;
- la stipulazione di un contratto o di un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
Focalizzandosi preliminarmente sull’ordine sequenziale che la normativa attribuisce agli oneri pratici da porre in essere ed in particolare al comma 1, si segnala come non a caso viene richiesto che la verifica da parte del Titolare delle garanzie sufficienti del Responsabile sia antecedente alla stipulazione del contratto o di altro atto giuridico.
Il responsabile, quindi, dovrebbe essere individuato dal Titolare del trattamento sulla base della sua capacità di trattare dati nel rispetto della normativa privacy vigente, delle misure tecniche ed organizzative adottate e della tutela dei diritti dell’interessato.
Infatti, nel rispetto di un ragionamento logico e del principio della protezione dei dati fin dalla progettazione a norma dell’art. 25 del GDPR tale verifica e gli esiti positivi della stessa dovrebbero essere il fondamento giustificativo della successiva nomina e del successivo trattamento del dato da parte del soggetto terzo e del relativo affidamento.
A tal riguardo e trovando troppo spesso atti di nomina scevri da qualsiasi richiesta da parte del Titolare del trattamento delle misure tecniche ed organizzative così come anche di accordi di nomina privi di qualsiasi contenuto, si ricorda, al fine di fugare ogni dubbio, come gli adempimenti richiesti debbano essere posti in essere congiuntamente e che la mancanza dell’uno o dell’altro non fa altro che esporre il Titolare stesso ad eventuali sanzioni così come previsto da art. 83 comma (4) lett. a) secondo il quale la violazione degli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43 è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo, se superiore.
Il punto di partenza, dunque, per qualsiasi ragionamento logico all’interno del binomio Titolare/Responsabile deve essere quello secondo cui l’Interessato affida temporaneamente il controllo dei suoi dati personali al Titolare e non al Responsabile, e dunque lo stesso in un’ottica di culpa in eligendo e di culpa in vigilando deve sempre essere in grado di dimostrare non solo formalmente ma anche sostanzialmente di aver posto in essere tutte le azioni necessarie per tutelare la fiducia concessa dall’interessato, soprattutto nel momento in cui si avvale di soggetti terzi per il relativo trattamento.
Ecco perché la sottoposizione e la compilazione preliminare di un’apposita check list al soggetto nominando consentirà non solo al titolare di selezionare un soggetto che sulla base di quanto dichiarato risponde alle caratteristiche dettate da normativa ma garantirà allo stesso, seppur in modo minimo, di tutelarsi e di creare un legittimo affidamento(2).
A titolo esemplificativo una check list dovrebbe aver riguardo di verificare almeno i seguenti aspetti:
- i) la designazione da parte del Responsabile di un DPO
- ii) l’adozione di procedure per la tutela dei diritti degli interessati
- iii) la formazione dei dipendenti che operano sotto la sua direzione
- iv) l’autorizzazione scritta di suddetti dipendenti
- v) l’elaborazione di un registro dei trattamenti
- vi) l’adozione di procedure idonee per la gestione di eventuali violazione dei dati (cd. data breach)
- vii) l’adozione di misure di sicurezza quali l’anonimizzazione o la pseudonimizzazione
- viii) l’adozione di procedure di penetration test e vulnerabilty test
- ix) il possesso di eventuali certificazioni in materia di sicurezza
- x) la presenza di un piano di disaster recovery e di business continuity etc.
Breve menzione merita, infine, il considerando 81(3) che accompagna l’art. 28 e che di fatto rafforza il concetto secondo il quale quando il Titolare del trattamento affida delle attività di trattamento a un responsabile del trattamento lo stesso dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del Regolamento, anche per la sicurezza del trattamento.
LA STRUTTURA DELL’ATTO DI NOMINA: ATTENZIONE ALLE BAD PRACTICE
Per quanto attiene invece al comma 3 molto facile sarebbe riportare pedissequamente quanto contenuto all’art. 28 in relazione alla struttura ed ai contenuti dell’atto ma ciò su cui ci si deve concentrare ad un anno e mezzo dall’entrata in vigore del GDPR è certamente il riconoscimento delle cattive abitudini ed il preoccuparsi di fornire a ciascun contratto o atto giuridico di nomina da sottoscrivere quel carattere sostanziale e non solo formale che il Regolamento e l’Autorità Garante oggi richiedono.
Segnalando dunque una bad practice comune, è fondamentale ricordare nuovamente come nella privacy “copiare non giova” e dunque utilizzare check list di valutazione o ancora peggio atti di nomina ricavati sul web, senza minimamente valutare se quel format sia applicabile mutatis mutandis alla realtà che si cerca di regolamentare, non è minimamente conforme a quel concetto di accountability tanto caro al GDPR e validamente indicato all’art. 24.
Cercando quindi di fornire un suggerimento il più chiaro e diretto possibile sarebbe auspicabile elaborare check list ed atti di nomina il quanto più pertinenti ed adeguati (prendendo magari anche spunto da quanto l’internet ci concede ma sempre in un’ottica prudenziale): al rapporto che si viene ad instaurare con il Responsabile al trattamento, al tipo di dati trattati (personali, particolari e giudiziari), alle tipologie di soggetti interessati ed inevitabilmente alle finalità di trattamento, tenuto anche conto che tramite l’accordo giuridico sottoscritto, il titolare delega al responsabile la concreta gestione del trattamento dei dati a suo tempo affidati dall’interessato.
Ben venga una riproduzione più o meno letterale della norma e dei punti da a) ad h) dell’art. 28 comma (3) ma certamente più corretta sarebbe l’enucleazione specifica e pertinente delle istruzioni documentate, della durata del trattamento, della natura e delle finalità del trattamento, del tipo di dati personali e delle categorie di interessati i cui dati si riferiscono che forniscono all’atto di nomina quel carattere operativo ed effettivo che la norma richiede e che in sua assenza renderebbe l’atto stesso una mera opera formale.
Inutile e controproducente sono accordi di nomina formalmente corretti ma sostanzialmente privi di qualsiasi requisito di operatività.
Infatti, l’anomalia costante secondo la quale ad oggi vi sia ancora poca consapevolezza sui contenuti dell’accordo e su come una mera riproposizione della norma non sia la formalizzazione corretta di quelle istruzioni documentate che la normativa richiede all’art. 28 comma (3) lett. a). fa presuppore in modo preoccupante come via sia ancora poca attenzione su ciò che si attesta e si sottoscrive.
La consapevolezza di quanto formalizzato è elemento responsabilizzante di fronte a:
- Responsabili della Protezione dati che da qui a breve inizieranno, per conto dei rispettivi Titolari del trattamento, le loro verifiche sulla moltitudine di Responsabili al trattamento nominati;
- a eventuali ispezioni da parte dell’Autorità Garante, per il tramite della Guardia di Finanza e del nucleo Speciale Privacy.
Infine, non ci dimentichiamo che molto spesso l’atto di nomina viene sottoposto all’attenzione del Responsabile al trattamento, come allegato ad un contratto di servizio sottoscritto o da sottoscrivere, pertanto risulta una buona prassi inserire o modificare all’interno dell’accordo di servizio il relativo articolo in materia di tutela e protezione dei dati, da non confondere con l’informativa privacy, che vada ad indicare il rapporto tra le parti e che richiami l’atto di nomina e la valutazione delle garanzie poste in essere dal Responsabile, come fonte di specificazione ed approfondimento.
L’ANNOSA QUESTIONE DELL’ALTRO RESPONSABILE AL TRATTAMENTO DEI DATI
Ulteriore aspetto spinoso, tenute ferme le formalità da porre in essere, sono le conseguenze operative nel medio – lungo periodo dell’annosa questione dell’Altro responsabile al trattamento dei dati più comunemente conosciuto come Sub-Responsabile al trattamento dei dati.
A tal riguardo la normativa è altrettanto chiara e trova la sua formalizzazione all’interno dell’art. 28 comma (2) e comma (4), secondo i quali:
- 1. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche;
- 2. Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento […], prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.
Troppo spesso Titolari e Responsabili al trattamento sottovalutano suddette disposizioni senza interessarsi minimamente a come, in caso di utilizzo di Altro Responsabile al trattamento, la filiera del dato non si ferma ai loro obblighi e responsabilità ma va costantemente tenuta sotto controllo nel rispetto di quella fiducia più volte richiamata nel presente articolo e concessa dall’interessato.
Non dimentichiamoci che il Data subject è sempre pronto ad esercitare i propri diritti e che la possibilità di un evento di violazione dei dati personali cd. Data Breach non è così remota come si pensi. Dunque, una corretta gestione del flusso del dato e degli adempimenti richiesti da normativa permette al Titolare ed al Responsabile di agire tempestivamente e di non trovarsi impreparati di fronte a situazioni che vanno gestite prontamente.
RESPONSABILITÀ E SANZIONI
Meritevole di menzione, infine, è sicuramente la disposizione in materia di responsabilità contenuta all’art 82 che di fatto riporta la ripartizione delle responsabilità tra Titolare e Responsabile senza lasciare dubbio alcuno su chi è sanzionabile per cosa e quali sono le esenzioni di responsabilità.
A mero titolo informativo si ricorda che:
- Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il Regolamento.
- Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del Regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
Nonostante la norma risulti chiara, anche in materia di profili sanzionatori l’operato dei Titolari del trattamento è alquanto fantasioso e poco incline all’articolo ut supra richiamato. Lo stesso infatti viene molto spesso abilmente interpretato e rimodellato con l’obiettivo di far ricadere in capo al Responsabile al trattamento dei dati qualsiasi tipo di responsabilità in relazione al trattamento affidato.
Inoltre, non vanno dimenticati i profili di esenzione di responsabilità che esistono e sono formalizzati. Infatti, il titolare del trattamento o il responsabile del trattamento sono esonerati dalla responsabilità, se dimostrano che l’evento dannoso non gli è in alcun modo imputabile.
Attenzione quindi a sottoscrivere accordi senza il dovuto riguardo alle disposizioni in materia di Responsabilità.
Intervento del Dott. Marco CASSARO, Senior / Advisory Risk & Compliance – BDO Italia S.p.A.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(2) Sul punto si ricorda come in un’ottica di culpa in eligendo e di culpa in vigilando e le recenti sanzioni dell’Autorità Garante Italiana lo dimostrano, rimane onere del Titolare vigilare sull’operato del soggetto nominato quale Responsabile al trattamento dei dati al fine che lo stesso non faccia dei dati un trattamento illecito e anomalo.