Il Responsabile del trattamento e le clausole contrattuali alla luce del GDPR. La Circolare di Federprivacy
Il ricorso all’outsourcing è molto frequente nell’organizzazione di attività di impresa, ma quando ciò implica un flusso di dati personali, occorre che il committente e il fornitore esterno disciplinino i loro rapporti ai sensi della legislazione sulla privacy. Dal 25 maggio 2018 è scattato l’obbligo di stesura di un esteso numero di clausole. Si tratta di un’incombenza particolarmente rigorosa, considerato che l’incompleta o l’inadeguata stesura del contratto con il responsabile esterno del trattamento prevede sanzioni con un massimo edittale di 10 milioni di euro (o, se superiore il 2% del fatturato annuo). Di seguito uno approfondimento sulla figura del Responsabile del trattamento alla luce del GDPR, scritto dall'Avv. Michele Iaselli per Altalex, e la Circolare 3-2018 di Federprivacy, dedicata alle clausole contrattuali tra titolare del trattamento e responsabile esterno del trattamento.
Il responsabile del trattamento è definito dal GDPR come la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del titolare del trattamento (art. 4).
1. Nozione - Il responsabile del trattamento (art. 4) è definito dal GDPR come la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del titolare del trattamento.
Tale figura è di tutt’altra rilevanza rispetto al passato in quanto il responsabile assume nell’ambito del Regolamento una connotazione quasi professionale.
Difatti, dice la norma (art. 28) che “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell'interessato”. Quindi non viene scelta una persona fisica o giuridica qualsiasi, ma chi possieda già determinate competenze, per cui appare evidente che anche il responsabile del trattamento debba avere una formazione specifica.
2. Rapporto tra titolare e responsabile del trattamento - Il Regolamento sancisce che l'esecuzione dei trattamenti su commissione è disciplinata da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento, in cui siano stipulati la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
Il contratto, (per gli approfondimenti sulle clausole leggere la Circolare Federprivacy 3-2018), deve prevedere, in particolare, che il responsabile del trattamento:
a. tratti i dati personali soltanto su istruzione documentata del titolare del trattamento;
b. garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
c. adotti tutte le misure richieste ai sensi dell'articolo 32;
d. rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
e. tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III;
f. assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36;
g. su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento
h. metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28.
Di conseguenza lo stesso accordo tra titolare ed responsabile del trattamento deve avere un fondamento giuridico in quanto deve essere oggetto di contratto o altro atto giuridico che preveda tutta una serie di obblighi del responsabile che dipende direttamente dal titolare, può impiegare soltanto personale che si sia impegnato alla riservatezza e principalmente viene considerato anch’esso titolare del trattamento qualora tratti dati personali diversamente da quanto indicato nelle istruzioni dal titolare del trattamento.
Ciò è quanto si intuisce da quanto disciplinato dall’art. 26del Regolamento che parla anche di contitolari del trattamento quando due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento dei dati personali. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito al rispetto degli obblighi derivanti dal Regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato.
E’ evidente, quindi, che la figura del responsabile del trattamento è connessa ad un soggetto che grazie al possesso di determinate competenze collabora concretamente con il titolare per la creazione di quelle condizioni tecniche e organizzative necessarie per l’adempimento dell’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato, assumendo peraltro determinate responsabilità derivanti dalla stipula di un accordo contrattuale.
3. Ulteriori obblighi del responsabile del trattamento - Proprio per questi motivi lo stesso Regolamento specifica che il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento.
Tra i vari obblighi, inoltre, il Regolamento pone a carico del responsabile, ma anche del titolare del trattamento l’obbligo di conservazione della documentazione di tutti i trattamenti effettuati sotto la propria responsabilità. Conservazione che se riferita a documenti informatici ovviamente implica necessarie competenze inerenti la conservazione sostitutiva.
4. Sub-responsabile del trattamento - Inoltre l’art. 28 del GDPR chiarisce che quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l'altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile.
5. I recenti interventi normativi - In merito va rilevato che recentemente la legge europea n. 167 del 20 novembre 2017 ha dettato alcune disposizioni modificative o integrative del Codice in materia di protezione dei dati personali.
In particolare l’art. 28 della legge ha introdotto il comma 4-bis all’art. 29 del codice in materia di protezione dei dati personali andando ad aggiungere al responsabile interno del trattamento disciplinato dai primi 4 commi anche la figura del responsabile esterno così come disciplinata dall’art. 28 del regolamento europeo n. 2016/679 (GDPR). Difatti viene prevista la possibilità per il titolare del trattamento, in conformità a quanto previsto dal regolamento comunitario, di avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualità di responsabili del trattamento, forniscano le garanzie di cui al comma 2. In tal caso i titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento; i predetti atti verranno adottati in conformità a schemi tipo predisposti dal Garante.
Si ricorda, però, che l’attuale schema di decreto legislativo di adeguamento al GDPR in discussione in Parlamento prevede l’abrogazione dell’art. 29 del Codice nonché la possibilità dell’introduzione di figure interne alla realtà organizzativa di riferimento che siano autorizzate dal titolare al trattamento dei dati personali e che nell’ambito del modello organizzativo predisposto dallo stesso titolare possano assumere anche un maggior rilievo (per cui ritornerebbe la figura del responsabile interno anche se non associabile alla previsione dell’art. 28 del GDPR).
Fonte: Altalex
