Il concetto di accountability è il centro del nuovo Regolamento europeo relativo alla protezione dati personali (GDPR).
Tutta la nuova normativa si basa sulla responsabilità del titolare del trattamento “di mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di mostrare, che il trattamento è effettuato conformemente al regolamento” (art.24 paragrafo 1).
Inoltre a rafforzare il ruolo centrale del titolare e della sua responsabilità relativamente alle misure tecniche e organizzative adottate lo stesso art. 24, al paragrafo 2, specifica che “dette misure sono riesaminate e aggiornate qualora necessario”.
Da questo principio di responsabilità del titolare discende tutto il sistema delle prescrizioni che riguardano le attività che questo deve svolgere fin dalla fase della progettazione dei trattamenti, che vanno dalla privacy by design alla privacy by default fino alla adozione delle misure adeguate a assicurare la sicurezza dei trattamenti. Tutte decisioni che spetta al titolare prendere sulla base della valutazione di rischio che deve compiere per definire quali siano le misure tecniche e organizzative da adottare in ragione dei rischi che il trattamento (processo) che vuole porre in essere può far correre ai diritti e alle libertà delle persone fisiche.
Alla responsabilità del titolare rispetto ai trattamenti di dati personali che progetta di mettere in essere o che attiva sono dedicati ben 5 considerando.
Responsabilità del titolare dei dati
Essi vanno dal 74 al 79 e riguardano i rapporti con l’eventuale responsabile (processor) al quale il titolare (controller) affida una parte o anche tutto il trattamento che comunque viene svolto sulla base delle sue istruzioni, in suo nome e sotto il suo controllo (art.28 GDPR).
Per quanto riguarda i rapporti tra titolare e responsabile il considerando che in questa sede ha maggiore interesse è proprio il 79 secondo il quale “la protezione dei diritti e delle libertà degli interessati così come la responsabilità generale dei titolari del trattamento (controller) e dei responsabili del trattamento (processor), anche in relazione al monitoraggio e alle misure delle autorità di controllo, esigono una chiara ripartizione delle responsabilità ai sensi del presente regolamento”.
L’art. 28 del GDPR, peraltro, precisa che i rapporti tra titolare e responsabile dei trattamenti devono essere regolati da “un contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare” (art. 28 paragrafo 3).
Specifica inoltre, sempre il medesimo paragrafo, che il contratto (o l’atto giuridico adottato) deve vincolare il titolare al responsabile e deve specificare “la materia disciplinata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.
Seguono ben otto lettere, dalla a) alla h), nelle quali sono specificati precisi obblighi del responsabile nei confronti del titolare. Si tratta di obblighi relativi a tutti i diversi aspetti che riguardano sia il rapporto tra il titolare e il responsabile che le modalità con le quali il responsabile deve trattare i dati per la parte di trattamento a lui affidata dal titolare.
Sono norme molto minuziose che definiscono anche in larga misura quale debba essere il contenuto del contratto o dell’atto giuridico che lega le due figure.
Degli obblighi che il responsabile ha per legge nei confronti del titolare fa parte anche quanto disposto dal paragrafo quattro, che disciplina l’ipotesi in cui il responsabile intenda avvalersi per l’esecuzione di specifiche attività di altro responsabile (sub-responsabile). Caso questo consentito dal paragrafo secondo del GDPR che però subordina la nomina di eventuali sub-responsabili alla autorizzazione scritta del titolare, che deve esser rinnovata nel caso che subentrino modifiche nei rapporti tra responsabile e sub-responsabile.
Il paragrafo quattro specifica anche che nei confronti del titolare risponde sempre e comunque il responsabile da questi individuato e che è legato a lui da contratto o altro atto vincolante. È il responsabile, dunque, che risponde al titolare anche per le inadempienze o le violazioni causate dall’attività dei sub-responsabili.
Chiarire chi è responsabile
Lo scopo essenziale di una normativa così complessa, che in questa sede non è possibile approfondire in dettaglio, è quello di garantire che, come vuole il considerando 79, siano sempre chiari i ruoli e le responsabilità dei diversi soggetti che intervengono in un trattamento o in un complesso di trattamenti.
Si tratta di una esigenza fondamentale, che è facile risolvere facendo riferimento al solo titolare finché questi svolga tutti i trattamenti avvalendosi della propria organizzazione, indipendentemente da come ripartisca poi gli incarichi all’interno di questa.
È chiaro infatti che fino a che tutti i trattamenti sono posti in essere in ogni loro parte dall’organizzazione che fa capo al titolare, e cioè a colui che ne determina le finalità e le modalità di esecuzione, la responsabilità è sempre e solo esclusivamente del titolare, non solo per quanto riguarda la compliance al GDPR ma anche ogni altro aspetto dei trattamenti posti in essere.
A nulla rileva, infatti, che all’interno di un’unica organizzazione le responsabilità, anche rispetto ai trattamenti, siano ripartiti tra diverse strutture interne facenti capo a specifici responsabili direttamente dipendenti dal titolare. Il titolare resta uno e uno solo e tutti i trattamenti fanno sempre capo a lui e alla responsabilità che su di lui grava.
Quale responsabilità se il titolare si avvale di organizzazioni esterne
Il problema si complica invece quando il titolare ritenga utile o necessario far ricorso, per l’esecuzione di una parte o anche di tutto un trattamento, a strutture e organizzazioni esterne alla sua impresa, attraverso contatti di servizio o comunque atti vincolanti finalizzati ad assicurare che il soggetto terzo sia tenuto a fornire prestazioni adeguate ai trattamenti posti in essere dal titolare, seguendo le istruzioni e agendo in suo nome o nel suo interesse e comunque per suo conto.
A prima vista potrebbe sembrare che anche in questo caso non possa nascere un problema di ripartizione di responsabilità nei confronti della conformità dei trattamenti al GDPR giacché sappiamo bene che comunque la responsabilità ex art. 24 spetta sempre e solo al titolare.
Tuttavia la necessità alla quale la complessa normativa richiamata vuole far fronte è quella di imporre che sia sempre chiaro chi, nell’ambito di trattamenti complessi, opera come titolare, ed è dunque il soggetto al quale spetta dimostrare in ogni momento la conformità dei trattamenti posti in essere per sua decisione e sotto il suo controllo, al GDPR, e chi invece opera per incarico di questi, eseguendone le istruzioni e agendo in suo nome.
Vi sono infatti, e sono in costante crescita, casi in cui il rapporto tra il titolare e chi esegue comunque una parte del trattamento può essere di difficile definizione, giacché anche il responsabile, che pure opera in quanto tale per conto e in nome del titolare, può operare con una sua autonomia e, per certe fasi della sua attività, soprattutto con riguardo alla sua organizzazione interna e ai trattamenti connessi, può anche assumere la posizione di titolare.
Così come possono esservi casi in cui non è facile definire se, rispetto a un medesimo trattamento, il potere decisionale e le valutazioni connesse alla misure da adottare a seguito della valutazione di rischio per assicurare la compliance al Regolamento spettino a un unico titolare o siano da questo condivisi con altri che, anch’essi, concorrono a decidere, in tutto o in parte, tali modalità. E’ chiaro che se il potere decisionale relativo alle modalità di svolgimento di un medesimo trattamento è condiviso tra più soggetti, a ciascuno dei quali spetta, per la sua parte, la valutazione di rischio e la decisione sulle conseguenti misure da adottare, costoro devono essere qualificati non responsabili ex art. 28 ma contitolari ex art. 26 del GDPR.
Si tratta di una problematica già sorta sotto la vigenza della Direttiva 95/46, e che è stata ampiamente ed esaustivamente esaminata in una notissima opinion del Working Party29, la n. 1 del 2010.
Rileggendo quella Opinion si può constatare facilmente che larga parte della normativa contenuta nel GDPR non è altro che la traduzione in norme giuridiche dei principi e delle prescrizioni contenute in quel parere. La stessa figura di contitolare, prevista oggi dal GDPR all’art. 26 e che invece non era prevista nella Direttiva, è stata una creazione concettuale definita per la prima volta in modo formale proprio in quella opinion del 2010.
Per completezza merita sottolineare anche che recentemente il Workingparty 29 è tornato sul tema la decisione 13 dicembre 2016, emendata e adottata il 5 aprile 2017, intitolata “Linee-guida per l’individuazione dell’autorità di controllo capofila in rapporto a uno specifico titolare o responsabile del trattamento”, che tuttavia, per quanto qui interessa, non modifica il contenuto e l’impostazione di fondo della Opinion n.1 del 2010.
Il punto essenziale è dunque che in ogni caso in cui il titolare e gli eventuali contitolari ritengano che, in tutto o in parte, una o più delle attività connesse ai trattamenti che pongono in essere, possono essere svolte da altri soggetti diversi e distinti, operanti sotto il loro controllo ma non alle loro dipendenze, si pone il problema di chiarire con precisione il rapporto che sussiste tra chi opera come titolare e chi come responsabile, e quali siano gli obblighi che ciascuno dei due assume rispetto all’altro, anche con riguardo alle specifiche responsabilità del titolare e degli eventuali contitolari verso gli interessati e le Autorità di controllo.
E’ ovvio come tutto questo sia fondamentale per il funzionamento di tutto il sistema normativo fondato sul GDPR e soprattutto per gli interessati, che devono sapere sempre senza incertezze chi è il titolare dei trattamenti di dati che li riguardano, e per le Autorità di controllo, che devono poter sempre individuare con chiarezza chi svolga il ruolo di titolare, e dunque risponda integralmente dei trattamenti posti in essere, e chi quello di responsabile, e dunque risponda del suo operato direttamente al titolare e solo indirettamente ed eventualmente, ai fini dell’accertamento dei fatti, anche all’Autorità di controllo.
GDPR, come devono cambiare i rapporti contrattuali tra titolare e responsabile trattamento dati