La figura del responsabile del trattamento assume particolare rilievo tra le qualifiche soggettive di cui alla normativa europea in materia di protezione dei dati personali, che ne richiede la nomina ogni volta in cui vengano esternalizzate attività aventi a oggetto un trattamento di dati personali. Analizziamo il contenuto e le modalità di costituzione dell’atto di nomina.
www.agendadigitale.eu/sicurezza/privacy/sistemi-di-videosorveglianza-in-azienda-guida-alla-corretta-installazione/
Indice degli argomenti
Perché il responsabile del trattamento è importante in azienda
Per responsabile del trattamento si intende la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organo che tratta dati personali per conto del titolare del trattamento. Si tratta della figura, pertanto, nei confronti della quale viene esternalizzata l’esecuzione di un’attività che ha a oggetto un trattamento di dati personali.
La normativa europea in materia di protezione dei dati personali (Regolamento (UE) 2016/679, anche noto come GDPR) esige una chiara ripartizione delle responsabilità anche laddove – come in questo caso – il trattamento venga effettuato da parte di un soggetto esterno all’azienda (titolare del trattamento), che deve essere formalmente individuato con specifico atto giuridico o contratto che perimetra obblighi e responsabilità delle attività di trattamento (cfr. art. 28 GDPR).
Contenuti dell’atto di nomina del responsabile del trattamento
Il contenuto dell’atto di nomina deve innanzitutto tener conto “dei compiti e responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato”[1]. Pertanto, deve essere redatto sulla base della reale attività di trattamento dei dati che il responsabile andrà a svolgere: come ricordano le Linee guida[2] del Comitato europeo per la protezione dei dati (EDPB – European Data Protection Board), “non è necessario imporre tutele e procedure particolarmente rigorose a un responsabile del trattamento preposto a un’attività di trattamento che presenta solo rischi minori”. Occorre piuttosto calibrarle in base alla situazione specifica.
Cosa dice il GDPR
L’articolo 28 GDPR, al terzo comma, individua il contenuto obbligatorio che deve essere stabilito nel contratto o altro atto giuridico. In particolare, devono essere riportati almeno[3] i seguenti elementi:
- L’oggetto del trattamento, che deve essere definito con specifiche tali da renderlo chiaro;
- La durata del trattamento, che deve individuare il periodo di tempo esatto o i criteri utilizzati per determinarlo;
- La natura del trattamento, ossia il tipo di operazioni eseguite nell’ambito del trattamento;
- La finalità del trattamento, con indicazione che consenta a soggetti esterni (ad esempio le autorità di controllo) di comprendere il contenuto e i rischi del trattamento affidato al responsabile;
- La tipologia di dati personali, da intendersi non come mero riferimento alle categorie dei dati personali “comuni” ex art. 4, punto 1, GDPR o particolari di cui agli articoli 9 e 10 GDPR, quanto piuttosto alla specifica tipologia in base al contesto dell’affidamento.
- Le categorie di interessati, anche in questo caso indicate con il dettaglio delle categorie dei soggetti a cui i dati fanno riferimento.
- Gli obblighi e i diritti del titolare del trattamento (ad esempio, il diritto del titolare del trattamento a condurre attività di controllo circa l’operato del responsabile, oppure l’obbligo del titolare di fornire istruzioni al responsabile).
Indicazioni per le aziende titolari del trattamento
Dato che, come visto, il contenuto della nomina è inerente al trattamento e alle modalità con cui questo deve essere svolto da parte del responsabile, è opportuno che la formalizzazione del contratto o atto giuridico – che può essere stipulato in forma scritta, anche in formato elettronico (cfr. art. 28, comma 9, GDPR) – avvenga prima dell’avvio delle attività oggetto dell’esternalizzazione. Il responsabile, infatti, deve ricevere e aver modo di recepire le istruzioni a lui impartite in un momento antecedente a quello di avvio dei trattamenti svolti per conto del titolare.
In quest’ottica, il titolare che decida per l’affidamento in outsourcing di attività che coinvolgono un trattamento di dati personali, nel rispetto del principio di privacy by design (art. 25, primo comma, GDPR) e, nello specifico, sotto il profilo organizzativo, dovrebbe preventivamente provvedere con la formale individuazione del responsabile prima che le attività di trattamento esternalizzate abbiano luogo.
Successivamente al loro avvio, nell’ottica di far assumere alla nomina una veste più sostanziale che meramente formale – che mal si concilierebbe con la reale protezione dei dati personali oggetto dell’affidamento – il titolare dovrebbe svolgere (direttamente o per tramite di soggetti delegati) periodiche attività di audit, al fine di verificare il concreto rispetto delle istruzioni impartite da parte del responsabile.
Requisiti per la nomina del responsabile del trattamento privacy
Come chiarito nel preliminare paragrafo di “sintesi” all’interno delle linee guida, “due condizioni sono indispensabili per configurare il ruolo di responsabile del trattamento: essere un soggetto distinto rispetto al titolare del trattamento e trattare dati personali per conto del titolare del trattamento”.
Al responsabile, infatti, non è consentito stabilire in via autonoma le politiche del trattamento, né le finalità e i mezzi del trattamento a esso riferiti. Al contrario, dovrà trattare i dati solo secondo quanto impartito dal titolare, potendo al più residuare “un certo margine di discrezionalità su come servirne al meglio gli interessi, consentendo[gli] di avvalersi dei mezzi tecnici e organizzativi più idonei”.
Inoltre, è importante sottolineare come la necessità di procedere o meno alla nomina del responsabile sia sempre sottesa all’esito di un esame effettuato sul piano sostanziale e non formale delle attività in concreto svolte dal soggetto affidatario dell’attività esternalizzata[4].
Ruoli e obblighi del responsabile del trattamento privacy secondo il GDPR
Dal suo canto il responsabile, oltre a dover rispettare tutto quanto previsto all’interno dell’atto di nomina e nei relativi ambiti sopra individuati, per effetto di quanto stabilito ex articolo 30, comma 2, GDPR, è chiamato anche alla tenuta di un apposito registro comprensivo di tutte le categorie di attività relative ai trattamenti svolti per conto del titolare e che contenga gli elementi riportati alle lettere da a) a d) della norma.
Cosa includere nell’atto di nomina del responsabile del trattamento
Oltre al contenuto di cui si è detto in apertura del seguente contributo, il terzo comma dell’articolo 28 GDPR indica altresì come il contratto o l’atto giuridico preveda che il responsabile, in sintesi:
- Tratti i dati personali soltanto su istruzione documentata del titolare del trattamento;
- Garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- Provveda all’adozione di adeguate misure tecniche e organizzative di sicurezza, ai sensi dell’art. 32 GDPR;
- Rispetti le condizioni di cui all’art. 28, commi 2 e 4, nel caso in cui dovesse sub-affidare l’attività (e, con essa, le attività di trattamento che ha a oggetto) a un altro responsabile (c.d. sub-responsabile);
- Assista il titolare per dar seguito a eventuali richieste di esercizio dei diritti da parte degli interessati;
- Assista il titolare nel garantire il rispetto degli obblighi in materia di misure di sicurezza, data breach e per lo svolgimento di valutazione di impatto o di una consultazione preventiva;
- Su scelta del titolare, cancelli o restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti (salvo che norme di diritto nazionali o comunitarie stabiliscano diversamente);
- Metta a disposizione del titolare tutte le informazioni necessarie al fine di dimostrare il rispetto dei suddetti obblighi, consentendo e contribuendo anche alle attività di revisione e ispezione realizzate dal titolare o da un soggetto da quest’ultimo delegato.
Aspetti da considerare per la scelta del responsabile del trattamento privacy
Tra i principali aspetti da considerare al fine della sua corretta individuazione, il regolamento europeo prevede che il responsabile presenti “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del […] regolamento e garantisca la tutela dei diritti dell’interessato” (art. 28, comma 1, GDPR). Invero, il Considerando 81 della normativa chiarisce come dette sufficienti garanzie siano espresse, in particolare, “in termini di conoscenza specialistica, affidabilità e risorse” nella misura in cui consentano il rispetto della normativa europea e la sicurezza del trattamento. Inoltre, le linee guida indicano le garanzie come quelle che il responsabile del trattamento è in grado di dimostrare in modo soddisfacente al titolare, “essendo queste le uniche che possono essere effettivamente prese in considerazione da detto titolare nel valutare l’adempimento dei suoi obblighi”[5]: ciò può avvenire con uno scambio di documentazione pertinente (ad esempio: politica in materia di privacy, condizioni di erogazione del servizio, registro delle attività di trattamento, etc.).
Tali scelte devono essere condotte dal titolare che, ai sensi dell’articolo 24 GDPR, è tenuto anche all’effettuazione di questa preventiva valutazione, che dovrà essere garantita e dimostrata nel rispetto del principio di accountability.
Procedure per la revoca o sostituzione del responsabile del trattamento
Alla luce di quanto evidenziato al precedente paragrafo, appare evidente come nel caso in cui le garanzie richieste al responsabile dovessero in qualsiasi momento venir meno, sarebbe possibile per il titolare revocare l’incarico, sottraendo a esso lo svolgimento delle attività che coinvolgono i dati personali oggetto dell’affidamento.
Parimenti, stesso esito potrebbe venire in essere nel caso in cui tale condizione si palesasse a seguito delle attività di verifica e controllo che abbiamo visto possono essere svolte dal titolare.
Esempi pratici di atti di nomina del responsabile del trattamento
Ferma restando l’eterogeneità dei casi – certamente non esauribili in questa sede – in cui è richiesto al titolare di nominare un responsabile, possiamo considerare a titolo esemplificativo l’ipotesi del consulente del lavoro che cura la predisposizione delle buste paga dei dipendenti dell’azienda cliente, per conto di quest’ultima; oppure il tecnico manutentore del sistema di videosorveglianza aziendale al quale è stato dato accesso per la consultazione delle immagini o delle registrazioni effettuate dall’impianto. In entrambi i casi l’esecuzione delle attività da parte di questi soggetti presuppone che essi svolgano attività di trattamento per conto del titolare, posto come – rispettivamente – il consulente non potrà fare a meno di trattare i dati personali dei lavoratori e il manutentore dell’impianto di visionare le immagini oggetto delle riprese o delle registrazioni.
Prendendo in esame, nello specifico, il secondo, il contenuto obbligatorio dell’atto di nomina deve indicare ad esempio:
- Come oggetto, le registrazioni dell’impianto di videosorveglianza che riprendono l’entrata e l’uscita delle persone dai locali aziendali;
- Come durata, il riferimento alla durata dell’accordo relativo al trattamento;
- Come natura del trattamento, la ripresa, la registrazione, l’archiviazione di immagini, etc.;
- Come finalità, la rilevazione di ingressi illegittimi per la tutela del patrimonio aziendale;
- Come categorie di interessati, i dipendenti, i visitatori, i corrieri, etc.;
- Come obblighi e diritti del titolare del trattamento, la possibilità per il titolare di effettuare ispezioni e attività di revisione sull’operato del responsabile.
Linee guida per la stesura efficace dell’atto di nomina del responsabile privacy
Al fine di fornire orientamenti sul concetto di responsabile (ma anche su quello di titolare e di contitolarità) nonché sulle corrette modalità da seguire per la stesura dell’atto di nomina, le citate linee guida dell’EDPB forniscono indicazioni ed esempi concreti in merito.
Inoltre, occorre considerare come oltre alla possibilità di negoziare un proprio atto giuridico o contratto, il titolare e il responsabile possono anche scegliere di basarsi, in tutto o in parte, su delle clausole contrattuali tipo adottate dalla Commissione europea in relazione agli obblighi di cui all’art. 28 GDPR (cfr. art. 28, comma 7, GDPR o par. 1.2, parte II, punto 104, delle Linee guida).
Note
[1] Cfr. il Considerando 81 GDPR.
[2] Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, adottate il 7 luglio 2021.
[3] Non è, comunque, preclusa la possibilità di includere ulteriori informazioni ed elementi pertinenti, in funzione del contesto e dei rischi posti dal trattamento, nonché di eventuali ulteriori requisiti applicabili.
[4] Cfr. par. 3 della Risposta a un quesito relativo al ruolo del consulente del lavoro dopo la piena applicazione del Regolamento (UE) 679/2016 da parte del Garante privacy. Cfr. altresì newsletter del Garante privacy del 7 febbraio 2019.
[5] Cfr. par. 1.1, parte II, punto 95 delle linee guida.