Il GDPR è il primo (vero) tentativo organico da parte dell’Unione Europea di dettare regole stringenti sull’utilizzo dei dati personali. Come garantire il rispetto del principio di accountability nel caso in cui alcune attività vengano demandate a un responsabile del trattamento? Serve che i ruoli dei soggetti coinvolti nel trattamento di dati personali siano ben precisati e che, nel caso in cui alcune attività vengano demandate a un responsabile del trattamento, il titolare sia in grado di giustificare tale attribuzione e di provare che essa è stata preceduta da un’opportuna verifica sulle modalità del trattamento e sulle garanzie offerte dal responsabile. Analizziamo in profondità lo scenario.
Lo spirito del Regolamento Generale sulla Protezione dei Dati 2016/679 raccoglie i valori comuni ai paesi dell’Unione Europea: “Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano” recita l’art. 8 della Carta dei diritti fondamentali dell’Unione Europea. Per gli europei il valore da proteggere, da sempre al centro delle disposizioni normative, è la persona. Stati Uniti e Cina offrono due modelli diversi: i primi, infatti, promuovono l’iniziativa economica privata (e, quindi, intendono tutelare prevalentemente le revenues) mentre la seconda la sicurezza dei dati (il 27 dicembre 2016 la Cina ha infatti annunciato la National Cybersecurity Strategy, evidenziando che “cybersecurity is a matter of National security”). I dati personali identificano le caratteristiche degli individui e, con ciò, l’essenza stessa delle persone. E non è un caso che l’art. 8 della Carta dei diritti fondamentali dell’Unione Europea sia collocato all’interno del Capo II – Libertà: fallire nel garantire gli individui quali titolari dei propri dati e proprietari del loro utilizzo può portare a forme moderne di schiavitù.
Trattamento dati e outsourcing, l’attribuzione dei ruoli
La finalità di tutela dei diritti dei singoli si evidenzia nei principi generali dettati dall’articolo 5 GDPR (tra i quali liceità, correttezza e trasparenza). La principale garanzia del loro rispetto è il principio di responsabilizzazione (“accountability”) secondo il quale “Il titolare del trattamento è competente per il rispetto” di tali principi e “in grado di comprovarlo”. In questa ottica, è importante che i ruoli dei soggetti coinvolti nel trattamento di dati personali siano ben precisati e che, nel caso in cui alcune attività vengano demandate a un responsabile del trattamento, il titolare sia in grado di giustificare tale attribuzione e di provare che essa è stata preceduta da un’opportuna verifica sulle modalità del trattamento e sulle garanzie offerte dal responsabile.
Il titolare è tale se determina le finalità e i mezzi del trattamento di dati personali mentre il responsabile è tale quando tratta i dati personali per conto del titolare, seguendo le sue istruzioni. In alcuni casi è semplice attribuire un ruolo alle parti: ad esempio, i fornitori di servizi di archiviazione elettronica dei dati (siano essi in cloud o meno) o di manutenzione sui sistemi IT sono ormai comunemente qualificati come responsabili esterni.
Il discrimen tra titolare e responsabile è tendenzialmente legato alla finalità del trattamento. Pur rimanendo importante la definizione della modalità del trattamento, infatti, è possibile che il responsabile sia libero di scegliere quella più conveniente purché il titolare mantenga un certo potere di controllo. Qualora una parte riceva dati per trattarli al fine di rendere un servizio all’altra parte (senza che si configuri alcuna autonomia decisionale), il fornitore agirà in qualità di responsabile esterno.
Diversamente può accadere il caso di un fornitore che persegue una finalità propria (che pure comporti la realizzazione di una finalità di interesse per il titolare): in tali casi il fornitore potrebbe essere considerato titolare autonomo, quanto meno per il trattamento di suo interesse, o contitolare.
GDPR, utilizzo dei dati per finalità aggiuntive
Ulteriore e diversa questione è poi quella relativa all’utilizzo di dati da parte del responsabile per finalità aggiuntive rispetto a quelle per cui il titolare lo coinvolge. Il problema non è soltanto capire la qualifica corretta delle parti ma è anche (e soprattutto) verificare se tale trattamento aggiuntivo sia legittimo. Spesso infatti i fornitori di servizi ritengono di poter utilizzare come meglio credono i dati di cui vengono in possesso, purché previamente aggregati: in altre parole, a titolo esemplificativo, rendono il servizio alla società loro cliente che ha comunicato i dati personali dei propri iscritti e poi aggregano i dati per finalità ulteriori e proprie.
L’aggregazione stessa, come qualsiasi operazione su dati personali, è però un trattamento: ne consegue che, perché sia legittima, è necessaria una idonea base giuridica. Come noto, l’art. 28, para. 10 GDPR dispone che “se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione”. È probabile che in tal caso il responsabile si converta in un titolare che agisce in maniera illecita: peraltro, rimane una responsabilità in capo al titolare iniziale, in quanto dovrà rispondere della carenza di misure di sicurezza, che ha consentito al responsabile di svolgere attività ultronee rispetto a quelle oggetto dell’incarico.
Trattamento dati, mantenere il controllo sui fornitori
Il tema del controllo sull’operato dei fornitori è rilevante non solo sul piano della tutela dei dati personali, ma anche, più generalmente, sul piano della sicurezza dei dati e del controllo della filiera dei fornitori che vengono in contatto con il patrimonio dei dati – personali o non – dell’azienda. Un gran numero di violazioni di dati avviene infatti a causa di vulnerabilità che interessano non l’ente stesso che subisce l’attacco, bensì altri soggetti appartenenti all’ecosistema di cui esso fa parte, primi tra i quali i fornitori e, in particolare, i fornitori di servizi informatici. A fronte di queste problematiche, l’intento del GDPR è di garantire “la tutela dei diritti dell’interessato” (art. 28, para. 1); tuttavia, gli interessi da tutelare attraverso una efficace governance della filiera sono molteplici. Si pensi all’impatto di un data breach su aspetti vitali quali la continuità operativa oppure sulla tutela della riservatezza delle informazioni aziendali riservate. Per questo motivo, oltre alle opportune tutele da inserire nel data processing agreement (“DPA”) in ottemperanza a quanto disposto dal GDPR, assumono un ruolo centrale anche altre cautele contrattuali volte a permettere al cliente un controllo sull’operato dei fornitori.
Le linee guida dell’Abe sull’esternalizzazione
Un’indicazione di quelle che possono essere le criticità del rapporto cliente-fornitore, in particolare nel campo dell’information technology, si può trovare negli “Orientamenti in materia di esternalizzazione” dell’ABE (Autorità Bancaria Europea) del 25 febbraio 2019. Nonostante gli Orientamenti si rivolgano a un gruppo di destinatari ben precisi (enti creditizi, istituti di pagamento e istituti di moneta elettronica) e abbiano come obiettivo (anche) quello di garantire il rispetto di norme di settore, alcuni principi e riflessioni ivi contenuti sono un valido spunto anche per chi, in un settore differente da quello bancario, decida di ricorrere all’esternalizzazione.
Al centro dell’approccio proposto negli Orientamenti – in modo analogo a quanto previsto dal GDPR per il trattamento di dati personali – vi sono i concetti di analisi e valutazione del rischio connesso all’esternalizzazione di funzioni aziendali e, in un’ottica di proporzionalità, la raccomandazione di “assicurare che i dispositivi di governance, compresi quelli relativi all’esternalizzazione, siano coerenti con il profilo di rischio individuale”. Tra i fattori di rischio, l’ABE prende in considerazione anche la concentrazione di alcuni servizi cloud e IT in capo a pochi fornitori sui quali fanno affidamento un gran numero di operatori del settore. Eventuali interruzioni di servizio che coinvolgano questi soggetti – ad esempio a causa di eventi esterni imprevedibili – hanno il potenziale non solo di impattare la continuità operativa dei singoli clienti, ma anche di creare un generalizzato “rischio sistemico al mercato finanziario”. È chiaro che la medesima considerazione potrebbe valere in altri settori strategici, quali ad esempio i settori dell’energia o delle telecomunicazioni.
Tra le misure previste dall’ABE, alcune possono essere considerate linee guida valide anche al di fuori del settore specifico, quali ad esempio:
- la predisposizione e l’aggiornamento periodico di un piano di continuità operativa, per le funzioni ritenute essenziali o importanti;
- la contrattualizzazione dei livelli di servizio attesi e di eventuali correttivi da applicare tempestivamente in caso di mancato rispetto degli stessi;
- la disciplina dei diritti di recesso e/o risoluzione attribuiti al cliente, che devono garantire una via d’uscita in tutte le ipotesi in cui lo svolgimento delle funzioni esternalizzate è a rischio;
- l’elaborazione di una “strategia di uscita” che preveda specifici obblighi del fornitore in caso di cessazione del contratto per qualunque motivo – in particolare, l’obbligo di assicurare la prestazione dei servizi per un periodo di transizione e l’obbligo di collaborare con il cliente e/o con un nuovo fornitore per l’ordinato trasferimento dei servizi in vista della reintegrazione della funzione presso il cliente oppure del suo affidamento a un fornitore di servizi alternativo.
Alcune previsioni rappresentano poi un punto di contatto con il GDPR, quali ad esempio l’obbligo di indicare nel contratto il luogo in cui vengono trattati e conservati i dati; particolarmente rilevante in questo senso è la raccomandazione di disciplinare tali aspetti ex ante, insieme alle previsioni relative ai diritti di monitoraggio e di audit da parte dei clienti nei confronti del fornitore, su cui ci si focalizzerà sotto.
Trattamento dati, le misure contrattuali
L’art. 28, para. 3 del GDPR sancisce l’obbligo di disciplinare per iscritto i trattamenti da parte di un responsabile, indicando alcuni contenuti obbligatori dell’accordo. La mancata conclusione di un contratto in forma scritta comporta una violazione dell’obbligo del titolare del trattamento di fornire una documentazione delle responsabilità, secondo la logica dell’accountability. Resta fermo che l’art. 28 GDPR è una norma imperativa, volta in primis ad assicurare che gli interessati siano tutelati, motivo per cui sarebbe applicabile anche in assenza di un accordo scritto. Fatte salve le previsioni dell’art. 28, le parti sono libere di determinare le reciproche obbligazioni come meglio confacenti rispetto alle proprie esigenze. Tuttavia, come in tutte le negoziazioni contrattuali, una parte fondamentale dell’esito dipende dalla forza delle parti: spesso infatti i grandi del mercato non sono disposti a negoziare i propri modelli di DPA, data processing agreement. Questo approccio – assai diffuso – comporta non pochi profili di rischio per la parte debole e molte ritrosie nel sottoscrivere la documentazione.
Preme concentrarsi su due aspetti chiave nella negoziazione di DPA, particolarmente rilevanti in quanto indici del livello delle misure di sicurezza richieste dal titolare: la disciplina dei sub-responsabili e gli audit.
La nomina di eventuali sub-responsabili
Quanto ai sub-responsabili, le parti sono libere di determinare se il responsabile possa ricorrere a un altro responsabile in forza di un’autorizzazione generale scritta del titolare o se sia invece richiesta un’autorizzazione specifica. Tendenzialmente il responsabile del trattamento farà pressioni per ottenere un’autorizzazione generale che, sebbene lo impegni a informare il titolare in caso di modifiche alla lista dei sub-responsabili e a raccogliere la sua (eventuale) opposizione, consente una gestione semplificata. Inoltre, sarà interesse del responsabile assicurarsi la possibilità di nominare terzi sub-responsabili anche operanti in territori al di fuori dello Spazio Economico Europeo (“SEE”) purché siano rispettate le condizioni prescritte al Capo V del GDPR. Da parte sua, il titolare avrà interesse ad assicurarsi che sia ricevuta una previa autorizzazione specifica per ogni sub-responsabile e che, in caso di trasferimento extra SEE, a ricevere una copia delle condizioni di trasferimento negoziate dai sub-responsabili con il responsabile. Il responsabile mantiene in ogni caso la responsabilità per l’operato dei sub-responsabili, su cui potrà eventualmente far valere un’azione di regresso per i danni risarciti al titolare.
Per quanto riguarda i controlli che il titolare può porre in essere in relazione all’operato del responsabile, quest’ultimo è tenuto, in forza dell’art. 28, para. 3, lett. h) GDPR, a mettere “a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e [a consentire e a contribuire] alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato”.
Il responsabile non apprezza l’ingerenza eccessiva del titolare e quindi, laddove possibile, cercherà di ottenere quanto meno un preavviso per lo svolgimento dei controlli e un limite al numero di controlli che possono essere realizzati in un determinato periodo – anche questo aspetto risentirà ovviamente dei rapporti di forza tra le parti e dell’eventuale sottomissione del titolare a vincoli regolamentari che impongono una certa libertà nella gestione degli audit.
Controllo del fornitore: il peso dell’audit
Le parti inoltre cercheranno di negoziare condizioni favorevoli per quanto riguarda i costi connessi allo svolgimento degli audit: il titolare cercherà di attribuirli in toto al responsabile (in quanto rientrano tra gli effetti dell’esecuzione di un’obbligazione contrattuale) mentre il responsabile cercherà di allocare, almeno in parte, i costi da sostenere in capo al titolare. Oltre che negoziare le modalità di esecuzione di audit periodici, il titolare deve prevedere l’eventualità che si rendano necessari audit “eccezionali” in caso di crisi (e.g. una richiesta da parte di un’autorità competente, un data breach). Nei casi di audit “eccezionali” infatti, le investigazioni dovranno essere svolte in modo estremamente analitico e, solitamente, in tempi stretti: il titolare non può correre il rischio di dover negoziare le condizioni dell’accesso ai locali e ai documenti rilevanti del responsabile a seguito del verificarsi della crisi.
Si ricorda inoltre che “il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati”: tale previsione (in modo poco chiaro riferita alla lettera h) del primo comma), lascia intendere che al responsabile sia riconosciuto uno spazio di libertà per rifiutare di dare seguito alle richieste del titolare qualora, oltre ad eventuali violazioni del GDPR, la richiesta del titolare comporti una violazione di altri diritti del responsabile (primo fra tutti, il diritto a mantenere i propri segreti aziendali e la confidenzialità di certe informazioni).
È infine auspicabile che il titolare si doti di un sistema ordinato di gestione degli audit, introducendo una procedura aziendale, che potrebbe anche rappresentare una sezione di una procedura più ampia, in modo da individuare le funzioni deputate a monitorare l’esercizio di tali controlli e le principali fasi da rispettare per il loro esercizio. Dovrà anche essere prevista una ripartizione tra i controlli programmati e periodici, la cui esecuzione è stata negoziata in sede di sottoscrizione del DPA, e quelli eccezionali, che potrebbero rendersi utili in caso di crisi. Infine, ma non meno importante, dovrà essere conservata la documentazione rilevante, in modo da assicurare il record del pregresso.
Le modalità per poter condurre gli audit sono molto varie e, si suggerisce, da pattuire in sede di negoziazione. Il titolare potrebbe avere un interesse a mantenere il controllo degli audit e a svolgerli direttamente. Diversamente, anche in ragione dei costi del personale da coinvolgere, il titolare potrebbe preferire il coinvolgimento di un terzo auditor, che svolga l’attività al suo posto. Meno efficace e meno sicura è invece la modalità di richiedere al responsabile di compilare/redigere un questionario sulle proprie misure di sicurezza e sullo stato della compliance. Infatti, c’è il rischio che il responsabile (pur in buona fede) non essendo dotato di risorse adeguatamente formate, fornisca risposte incomplete o errate: a fronte di simili circostanze, un’autorità potrebbe anche considerare la modalità di verifica inadeguata e rilevare una carenza di controllo da parte del titolare nei confronti dei responsabili che operano per suo conto.
