Comprendere la catena del valore, stabilire rapporti di fiducia, operare in modo trasparente, formulare strategie comuni sono solo alcuni degli elementi che hanno storicamente caratterizzato un proficuo rapporto cliente-fornitore. Pubblico o privato che sia, per chi offre servizi basati sull’elaborazione dei dati personali, la relazione con il fornitore assume oggi un valore ancora più rilevante che in passato, anche alla luce dello spirito che sottende il Regolamento (UE) 2016/679, Gdpr.
GDPR, trattamento dati in outsourcing: come tutelare l’interesse aziendale
La data protection nel rapporto clienti-fornitori
Infatti, tenuto conto del fatto che il confine tra la dimensione reale e virtuale è sempre più labile, la privacy non è più declinata soltanto come “il diritto di essere lasciato solo”, come nel “mondo reale”, ma soprattutto come “data protection”, quale diritto a poter controllare le informazioni che ci riguardano, come nel “mondo virtuale”, in cui siamo sostanzialmente rappresentati dai nostri dati.
In questo contesto si inserisce il Regolamento (UE) 2016/679, volto a tutelare il diritto di ciascun individuo (interessato) ad avere il controllo, il più possibile esteso, delle informazioni che lo riguardano. Assume quindi un ruolo chiave, centrale nella relazione cliente-fornitore, la tutela dei diritti e delle libertà dell’interessato, che ha contezza e consapevolezza del trattamento operato sulle proprie informazioni, conoscendo, in modo trasparente, quali “operazioni” vengono applicate ai propri dati personali.
Attraverso la lente del Regolamento (UE) 2016/679, i ruoli di cliente e fornitore, possono anche essere letti quali titolare e responsabile del trattamento. Pur non potendosi considerare un automatismo, tale associazione è realistica in molti casi.
Total Quality Management applicata alla privacy: l’art. 28 del Gdpr
Il cliente/titolare rappresenta la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri (contitolari), determina le finalità e i mezzi del trattamento di dati personali, mentre il fornitore/responsabile è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare”.
È chiaro che, per poter offrire un servizio di qualità agli interessati, nonché per garantire processi sicuri, affidabili, sostenibili, favorendo, ove possibile, economie di scala, molto spesso i titolari, soprattutto in ambito pubblico, si avvalgono di responsabili/fornitori che hanno come core business proprio quello di offrire piattaforme (PaaS) e infrastrutture (IaaS) distribuite, spesso, nel cloud.
In questo contesto, l’art. 28 del Regolamento dà alcuni criteri rispetto ai quali orientarsi che possono anche essere interpretati come una sorta di Total Quality Management applicata alla privacy. Infatti, se del caso, il titolare ricorre unicamente a responsabili del trattamento altamente qualificati, che per esperienza, capacità o particolari elementi di affidabilità, presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate rispetto agli obblighi normativi, con particolare riguardo alla sicurezza, a tutela dei diritti dell’interessato.
La nomina di sub-responsabili del trattamento
Con l’autorizzazione del titolare, la catena di fornitori può essere arricchita anche attraverso la nomina, da parte del responsabile, di sub-responsabili del trattamento, che devono presentare analoghe caratteristiche, in modo che tutte le attività che concorrono a realizzare la catena del valore siano operate nel rispetto dei principi enunciati all’art. 5 del Regolamento. In omaggio al principio di accountability, il Regolamento non presenta un approccio prescrittivo rispetto alla gestione del rapporto titolare/responsabile, quindi, per comprendere meglio lo spirito, le linee guida 7/2020[1] rilasciate dal European Data Protection Board (EDPB) e adottate il 7 luglio 2021, rappresentano un utilissimo strumento.
Se da un lato il responsabile/fornitore deve sempre attenersi alle istruzioni impartite dal titolare e agire unicamente in base a esse, dall’altro, nonostante il principio di accountability sia direttamente rivolto al titolare, il medesimo, in alcune specifiche circostanze, può riferirsi anche al responsabile.
Controlli e sanzioni
Entrambi, infatti, possono essere oggetto di sanzioni in caso di inadempimento degli obblighi cui sono soggetti ai sensi del Regolamento ed entrambi sono direttamente responsabili nei confronti delle autorità di controllo, in virtù dell’obbligo di conservare e fornire la documentazione adeguata su richiesta, di cooperare in caso di indagini e di ottemperare ai provvedimenti amministrativi[2]. È quindi naturale porsi la questione su quale sia il confine tra le decisioni riservate al titolare e quelle che possono essere lasciate a discrezione del responsabile. In altri termini, rispetto alle modalità di trattamento, qual è il limite di demarcazione tra le responsabilità del cliente e quelle del fornitore?
Su questo punto le stesse Linee guida 7/2020 offrono una illuminante distinzione tra mezzi essenziali e non essenziali. I primi sono strettamente legati alla finalità e alla portata del trattamento, tra cui il tipo di dati personali trattati, la durata del trattamento, le categorie di destinatari («chi vi ha accesso?») e le categorie di interessati («i dati personali di quali individui sono oggetto di trattamento?»). Insieme alla finalità del trattamento, i mezzi essenziali sono inoltre strettamente connessi alla liceità, necessità e proporzionalità del trattamento stesso. I mezzi non essenziali riguardano aspetti più pratici legati all’esecuzione del trattamento, quali, ad esempio, la scelta di un particolare tipo di hardware o di software o le misure di sicurezza specifiche. Mentre sui mezzi essenziali è il titolare a prendere decisioni, in merito ai mezzi non essenziali il responsabile del trattamento può avere un ampio margine di libertà.
Il Regolamento, inoltre, individua in un contratto (o altro atto giuridico) lo strumento che regola la relazione cliente/fornitore, nell’ambito del quale i mezzi essenziali, non essenziali, e quanto previsto al paragrafo 3 dell’art. 28, devono essere declinati sulla base dello specifico oggetto della fornitura. Anche se spesso, nei casi concreti, l’applicazione di tali principi non è sempre semplice e può presentare elementi di ambiguità, in quanto non esiste una soluzione univoca, giusta o sbagliata, la documentazione delle motivazioni che sottendono le scelte operate dagli attori in gioco aiuta, da un lato, a chiarire le aspettative delle parti, abilitando quel rapporto di fiducia menzionato all’inizio, dall’altro a tutelare la sicurezza, e la privacy degli interessati.
Note
- https://edpb.europa.eu/system/files/2022-02/eppb_guidelines_202007_controllerprocessor_final_it.pdf ↑
- Linee guida 7/2020 – Parte I – punto 9 ↑
