La tradizionale ripartizione di ruoli tra titolare e responsabile è cosa nota a chi si occupa di protezione dei dati personali, anche se in Italia si fa molta fatica a comprendere che il responsabile ex art. 28 non può essere una figura che fa parte dell’organizzazione del titolare ma solo un soggetto ad essa esterna, con una propria struttura autonoma e che è legato al titolare da un contratto o da un atto giuridico. Il motivo di tanta fatica è che su questo punto, unico in tutta l’Unione Europea, il Codice italiano per la protezione dei dati personali prevedeva anche la figura del responsabile interno all’organizzazione del titolare, al quale potevano essere delegate specifiche responsabilità anche con effetto esterni verso l’Autorità di controllo e gli interessati. Normativa, questa, del tutto incompatibile col nuovo GDPR e dunque destinata a perdere automaticamente la sua efficacia a seguito della sua entrata in vigore.
Gdpr, chi è responsabile di cosa: chiariamo i dubbi diffusi tra le aziende
Tuttavia, una volta chiarito che il responsabile come figura distinta e diversa dal titolare come regolata dall’art. 28 del GDPR può essere solo una figura esterna, distinta e separata dall’organizzazione del titolare, come del resto fin dal 2010 aveva ben chiarito il Working Party29 nella sua Opinion, i problemi qui prospettati sono sufficientemente noti, così come è esperienza comune la difficoltà, riconosciuta anche nella opinione del Working Party 1/2010, che in concreto si può incontrare per definire esattamente, nell’ambito di una catena di trattamenti tra loro connessi, la qualificazione dei diversi soggetti che, in posizioni diverse uno dall’altro, prendono parte alle attività svolte.
Questo vale sia rispetto a una pluralità di soggetti che siano coinvolti in un medesimo trattamento, o complesso di trattamenti, come contitolari, sia con riguardo alla distinzione tra il ruolo di titolare e quello di responsabile.
Obbligo per il titolare di valutare il rischio dei trattamenti
Per molti commentatori, invece, sembra essere molto meno chiara la mutazione fondamentale che, anche nei rapporti tra titolare e responsabile, deriva dall’obbligo per il titolare di valutare il rischio dei trattamenti che pone in essere, sia nella fase in cui li progetta che durante il periodo del loro svolgimento. Valutazione, questa, essenziale per consentire al titolare di adottare le misure tecniche e organizzative adeguate ai rischi che i trattamenti possono comportare per le libertà e i diritti delle persone (art. 24 del GDPR).
È chiaro che, per poter fare tale valutazione di rischio, e nei casi previsti dall’art.35, anche la valutazione di impatto, il titolare deve tenere conto anche della parte dei trattamenti che intende affidare in outsourcing a soggetti esterni, che assumono la posizione di responsabili. In questo quadro, egli deve tener conto anche del contenuto dei contratti o degli atti giuridici vincolanti che intende stipulare con essi, al fine di verificare quali siano i singoli impegni da questi assunti, e quali le modalità con cui, sia pure sotto il suo controllo e seguendo le sue istruzioni, tratteranno i dati.
Non a caso tra gli obblighi del responsabile dei trattamenti previsti dall’art. 28, paragrafo terzo, vi è anche quello di adottare tutte le misure richieste per garantire la sicurezza dei trattamenti di cui all’art. 32 (cfr. art. 28, paragrafo 3, lettera c).
È previsto inoltre l’obbligo per il responsabile di assistere il titolare del trattamento “nel garantire il rispetto degli obblighi di cui dagli articoli da 32 a 36 e dunque: misure di sicurezza; data breaches e segnalazione a Autorità di controllo e agli interessati; valutazione di impatto; consultazione preventiva dell’Autorità di controllo nei casi stabiliti dall’art. 36.
Il responsabile del trattamento diventa così un ruolo il cui svolgimento concorre in modo determinante a definire le caratteristiche delle modalità di trattamento dei dati, al fine di valutare il rischio che il trattamento comporta e adottare le misure adeguate.
Rapporti contrattuali tra titolare e responsabili
In altre parole, il titolare, ove intenda avvalersi anche di responsabili del trattamento, non può compiere una adeguata valutazione di rischio e meno che mai una soddisfacente valutazione di impatto, se non conosce prima non solo le istruzioni che intende impartire al responsabile, ma anche le modalità che in concreto questi adotterà e le misure che utilizzerà per garantire che la parte di trattamento a lui affidata non determini una variazione della valutazione di rischio rispetto a come definita dal titolare.
Inoltre occorre sottolineare che il responsabile è tenuto anche a concorrere col titolare, e ad assisterlo, per quanto riguarda le segnalazioni di data breaches. Questo significa che il contratto o l’atto giuridico vincolante deve porre obblighi chiari al responsabile su tale punto, almeno per la parte di sua competenza, e prevedere anche un dovere specifico di segnalazione tempestiva delle perdite o alterazioni di dati effettuatisi nell’ambito dei trattamenti a lui affidati.
Insomma, col nuovo GDPR sembra difficile che il titolare, se intende avvalersi di responsabili, non debba deciderlo prima di dare avvio in concreto ai trattamenti, stipulando in tale fase anche i contratti e gli atti giudici vincolanti necessari.
Allo stesso modo anche per i trattamenti già in corso è assolutamente necessario che il titolare proceda, di intesa col responsabile, a una rivisitazione dei contratti in essere.
Questo è necessario innanzitutto per procedere a una compiuta valutazione di rischio anche rispetto ai trattamenti già in essere, tenendo conto degli impegni contrattuali stipulati col responsabile e procedendo, se necessario, a modificarne il contenuto. In secondo luogo per verificare che essi contengano obblighi adeguati ad assicurare che il titolare possa tempestivamente segnalare anche perdite di dati verificatesi presso il responsabile.
È chiaro, infatti, che ove la rivisitazione dei rapporti contrattuali dovesse dimostrare che gli obblighi del responsabile, sia in termini di sicurezza dei trattamenti sia in termini di misure che il titolare ritiene necessario adottare in ragione dei rischi rilevati, non sono adeguati a quanto previsto dal GDPR, non vi è altra strada che quella di modificare e adeguare il contratto e gli impegni del responsabile verso il titolare o procedere, se possibile bonariamente, a una sua rescissione e alla individuazione di un nuovo responsabile.
Del resto che il titolare abbia l’obbligo di verificare anche le modalità con le quali opera il responsabile in concreto, e le tutele che assicura ai trattamenti affidati, sotto il controllo del titolare, alla sua organizzazione, è dimostrato chiaramente dal paragrafo quinto dell’art. 28, nella parte in cui prevede esplicitamente che “l’adesione da parte del responsabile del trattamento a un Codice di condotta approvato di cui all’art. 40 o a un meccanismo di certificazione approvato di cui all’art.42, può essere utilizzato come elemento per dimostrare le garanzie sufficienti di cui al paragrafo 1 e al paragrafo 4 del presente articolo”.
I due paragrafi citati sono quelli relativi alla nomina del responsabile e a quelle dei sub-responsabili. Essi precisano che sia il primo che i secondi devono “presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del presente Regolamento e garantisca la tutela dei diritti dell’Interessato”.
In sostanza la vera, e molto importante, innovazione che il GDPR contiene rispetto al rapporto tra titolare e responsabile è che le misure da adottare, dovendo essere sempre basate sulla valutazione dei rischi che un trattamento può far correre, implicano che il titolare, nel progettare i trattamenti debba tener conto anche dei contratti stipulati o in corso di stipulazione con i responsabili.
Infatti il contenuto di questi contratti, dovendo specificare anche le modalità e le misure che il responsabile si impegna ad adottare, costituiscono una componente essenziale della valutazione di rischio che spetta al titolare fare, anche con l’assistenza del responsabile.
Dall’altro, a valle della valutazione di rischio, è inevitabile che spetti al titolare verificare che tanto il contenuto degli impegni contrattuali degli impegni assunti quanto la concreta attività del responsabile garantiscano misure adeguate.
Infine il responsabile deve garantire al titolare non solo di poter corrispondere in modo adeguato ai reclami degli interessati ma anche di esercitare tempestivamente l’obbligo di segnalazione delle data breches all’Autorità di controllo.
È pacifico, infatti, che il termine di settantadue ore scatta dal momento in cui il titolare viene a conoscenza della perdita o alterazione dei dati, ma egli deve essere in grado di monitorare costantemente la conservazione dei dati, al fine di poter individuare nel tempo più breve possibile la loro eventuale perdita o alterazione. Il responsabile per la sua parte, è tenuto ad assistere il titolare anche sotto questo aspetto.
Dunque sarà bene che anche i contratti che hanno ad oggetto l’affidamento della conservazione dei dati a soggetti terzi, quali ad esempio i contratti cloud, siano “rivisitati” per assicurarsi che il responsabile che gestisce con questa modalità la conservazione dei dati, sia tenuto a monitorare costantemente la loro integrità e, ove necessario, avvisare tempestivamente il titolare.
Merita infine sottolineare che tutti i profili indicati sono da tenere nel massimo conto non solo da parte delle imprese che abbiano la finalità di trattare dati personali nell’ambito del loro core businnes ma anche, e persino in misura ancora maggiore, da parte di quelle che svolgano in misura massiccia l’attività di fornitori di servizi di trattamento dati a soggetti terzi, operando come responsabili.
Infatti, il considerando 81 specifica che “il titolare del trattamento dovrebbe ricorrere unicamente a responsabili che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente Regolamento”.
Questo significa che ben presto almeno la P.A. dovrà prevedere nei bandi di gara che chi vuole presentare offerte per lo svolgimento di attività che comportino trattamenti di dati di spettanza dell’Amministrazione che bandisce, dovrà dimostrare la sua compliance al GDPR, dando prova di avere una organizzazione interna adeguata a assicurare il rispetto di tutta la normativa contenuta nel nuovo Regolamento, compreso, se obbligatorio, il DPO. Non a caso del resto il GDPR prevede possa essere nominato anche dal responsabile per assisterlo pure nella attività che esso svolge come tale.
Insomma, e per concludere: l’innovazione che il GDPR comporta per quanto riguarda i rapporti tra titolari e responsabili è assai più incisiva di quanto la maggior parte dei commentatori abbia finora sottolineato.
È da prevedere dunque che per le imprese che intendono operare in modo conforme al Regolamento si apra una impegnativa fase di revisione dei contratti in essere, sia che operino quali titolari che come responsabili.
Infine è importantissimo che le imprese abbiano chiaro che la adeguatezza della loro organizzazione interna e delle modalità di svolgimento delle loro attività al GDPR, è essenziale non solo quando operano in qualità di titolare ma anche come responsabili.
Senza la possibilità di dimostrare la propria compliance al Regolamento sarà sempre più difficile alle imprese partecipare alle gare, perché sarà sempre più rischioso per le Amministrazioni e anche per i privati esercenti pubblici servizi, affidare compiti di responsabile di trattamenti dati a chi non rispetti le nuove regole.
