Trattamento dei dati personali: quali sono gli adempimenti e come strutturare i contratti di fornitura
La relazione tra il Titolare e il Responsabile esterno del trattamento dei dati personali è uno degli aspetti giuridici più noti del Reg. (UE) 2016/679. Il Titolare si occupa di definire e determinare i mezzi e le finalità del trattamento, il Responsabile è colui che gestisce, tratta e garantisce i dati personali per conto del primo.
Il Responsabile del trattamento è spesso un fornitore di servizi che ha accesso ai dati personali del Titolare.
Le due figure sono diffusamente descritte e disciplinate al Capo IV del GDPR dagli artt. 24 al 43. Il rapporto che intercorre tra queste, in osservanza del principio di trasparenza, deve essere di tipo contrattuale; l’eventuale mancanza di questo atto giuridico rappresenta una violazione degli obblighi di documentazione scritta che gravano sul Titolare e che possono determinare l’irrogazione di sanzioni in capo a quest’ultimo.
Il Titolare deve rendere conto, su richiesta, all’Autorità di controllo, delle sue attività e delle sue forme di cooperazione, dichiarando nel registro dei trattamenti “… le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali (art. 30 lett. f)”.
Pertanto, dovrà assicurarsi prima e dopo l’eventuale formalizzazione di un contratto, che il potenziale fornitore abbia idonea competenza in materia di protezione e trattamento dei dati personali, che sia a conoscenza dei principi della normativa e delle misure di sicurezza da questa prescritte e segua le istruzioni impartite.
Prima: perché il Titolare “ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato” (art.28 comma 1).
Dopo: perché il responsabile “mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi (…) e consenta o contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da lui incaricato” (art. 28 comma 3 lettera h) del GDPR.
Nel documento di nomina, fornire istruzioni è un obbligo. Lo si evince da quel “…rispetto delle legittime istruzioni del Titolare del trattamento” presente nell’ art. 82 comma 2. Queste sono relative alle “misure tecniche ed organizzative” previste dagli art. 32 al 36 e dovranno essere adottate dal Responsabile del trattamento a presidio della gestione dei dati personali. In realtà, entrambi i soggetti sono gravati dall’obbligo di responsabilizzazione e rendicontazione che si concretizza nel mettere in atto misure e comportamenti atti a provare un reale adeguamento alla normativa.
Ad ogni modo, sono proprio quelle istruzioni a creare, spesso, qualche preoccupazione in chi le riceve perché se non puntualmente osservate, il rischio di incorrere in responsabilità contrattuali volte a risarcire, se dimostrato, un eventuale danno cagionato al Titolare, è alto. Pertanto, in applicazione del Considerando 81 e dell’art. 28 del Reg. (UE) 2016/679, il Responsabile, dovrà, per esempio:
- garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale e siano formate ed informate sulle modalità di trattamento;
- assistere il titolare nel garantire il rispetto degli obblighi relativi alla:
– sicurezza del trattamento con riferimento alle best practices di settore
– notifica di violazione dei dati personali all’Autorità di Controllo ed agli Interessati
– produzione di una Valutazione d’Impatto tenendo conto della natura del trattamento e delle – informazioni a disposizione
– adozione di misure necessarie a prevenire, o quantomeno minimizzare, ogni rischio ragionevolmente prevedibile connesso alla distruzione, alla perdita, alla modifica, alla divulgazione non autorizzata o all’accesso, in modo accidentale o illegale, ai dati condivisi;
- comunicare gli amministratori di sistema incaricati e conservare i loro accessi logici;
- comunicare immediatamente eventuali violazioni e/o incidenti riscontrati sul trattamento di dati personali;
- supportare il Titolare in caso di richieste di informazioni o esecuzione di controlli e accessi da parte dell’Autorità Garante per la protezione dei dati personali;
- su richiesta del Titolare, cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancellare le copie esistenti, rilasciandone un’attestazione, salvo che il diritto dell’Unione o della normativa nazionale preveda la conservazione dei dati;
- informare immediatamente il Titolare del trattamento qualora, a suo parere, un’istruzione violi la normativa in materia di protezione dei dati;
- comunicare al Titolare del trattamento, qualora ve ne sia la necessità per la realizzazione di servizi connessi al contratto, il trasferimento dei dati oggetto dello stesso al di fuori dall’Unione Europea, che provvederà ad autorizzarlo qualora ne sussistano le condizioni nel rispetto della normativa privacy;
- conservare i dati in una forma che consenta l’identificazione degli interessati per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti e successivamente trattati;
- redigere il Registro delle attività di trattamento ai sensi della normativa privacy.
Solitamente, le istruzioni sono inviate in forma di allegato al documento di nomina di Responsabile del trattamento esterno e si deve controllare la loro applicazione. Ciò avviene con l’invio di appositi questionari, strutturati per dimostrare il rispetto degli obblighi e contribuire alle attività di revisione realizzate dal titolare.
I questionari contengono domande volte a fotografare la tipologia dei controlli predisposti dal fornitore a presidio del trattamento dei dati personali.
Solitamente contengono domande di tipo giuridico, tecnologico, organizzativo, culturale.
L’analisi delle risposte consente al Titolare di individuare eventuali rischi di trattamento, chiedere approfondimenti scritti, fornire indicazioni su interventi di correzione e se necessario effettuare dei veri e propri audit di verifica con ispezione fisiche nei locali del Responsabile del trattamento esterno.
Gli obiettivi di controllo ed i controlli sui trattamenti dei dati personali sono distinti per tipologia e possono essere effettuati su politiche di sicurezza, ruoli e responsabilità, modalità di gestione delle risorse informatiche, gestione di violazione dei dati, formazione delle persone e molto altro.
I questionari possono essere di “pre-qualificazione” ovvero proposti prima della sottoscrizione contrattuale, generalmente di servizi, ed hanno lo scopo di verificare la presenza di quelle garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate e di “mantenimento” per dimostrare il rispetto degli obblighi ovvero delle istruzioni notificate in osservanza del dettato normativo sulla protezione dei dati personali.
In caso di mancato rispetto delle istruzioni impartite dal Titolare, il responsabile diviene Titolare nella misura in cui non si è attenuto alle istruzioni dello stesso e abbia agito oltre i limiti convenuti e prescritti.
Sarà quindi da valutare il livello delle eventuali non conformità emerse e se queste potranno comportare delle conseguenze sul piano civilistico e considerarle un vero e proprio inadempimento contrattuale. A tal proposito, si ricorda che il documento di nomina sancito dall’art. 28 del GDPR è considerato come un’estensione del contratto di servizi stipulato.
Esemplificando il Responsabile potrebbe rispondere nei casi in cui:
- ignora le istruzioni del titolare;
- agisce in contrasto con le istruzioni del titolare;
- non risponde ai questionari o non è in grado di dimostrare con idonea documentazione le risposte date;
- non assiste il Titolare (ad esempio per le violazioni dei dati o la valutazione di impatto);
- non informa il Titolare che una sua istruzione è in violazione della normativa;
- pur essendovi obbligato, non designa il DPO;
- designa un sub-responsabile non essendo stato previamente autorizzato;
- designa un sub-responsabile che non offre garanzie sufficienti;
- non tiene il registro dei trattamenti;
Nei casi di trattamento, in violazione della normativa GDPR, il Responsabile risponde congiuntamente al Titolare, per il danno cagionato all’interessato, secondo quanto previsto dal diritto al risarcimento dell’art. 82. Infatti, sono previste sanzioni amministrative e penali molto rilevanti, inflitte in funzione delle violazioni accertate (art. 83). Anche il D.lgs. 101/2018 che ha novellato il D.Lgs. 196/2003 (codice Privacy) ha introdotto una nuova fattispecie di sanzioni penali (art. 167-172).
In conclusione, si può affermare che il GDPR non è un adempimento statico o una tantum, ma una norma che impone una continua attività di vigilanza sulle modalità di trattamento dei dati personali da un punto di vista giuridico, informatico, organizzativo e di aggiornamento formativo.
Vuoi saperne di più sui questionari per la privacy e sugli obblighi del Responsabile Esterno del trattamento?