Outsourcing: come districarsi nella identificazione soggettiva alla luce delle Linee Guida europee.

I Garanti UE hanno tracciato l’identikit del Titolare e del Responsabile del trattamento dei dati delineandone i criteri, in caso di esternalizzazione dei servizi ed i trasferimenti di dati/informazioni. Parliamo di Outsourcing.

Chiara Ponti

INDICE:

L’esternalizzazione dei Servizi, in linea con la Privacy

L’esternalizzazione [1], detta anche outsourcing (letteralmente “approvvigionamento esterno”), deve essere in linea anche con la disciplina dettata dalla Data Protection.

Spesso il concetto di esternalizzazione (o outsourcing) non va confuso con l’ordinario acquisto di opere/prodotti o servizi/lavorazioni, ambiti nettamente distinti. 

Confusione tipica allorché si tratti di servizi di consulenza, ad esempio.
L’esternalizzazione è bene precisare che sottende sempre un mandato.

Molte organizzazioni, in modo sempre più frequente, si rivolgono all’ esterno per gestire alcuni Servizi, specie in ambito ICT.

Da qui l’importanza della scelta del Fornitore.

É evidente che, in questi casi, è necessario che gli outsourcer (eroganti un servizio) siano oltre che competitivi e competenti, anche in linea con le varie normative tra cui la protezione dei dati.

 

Il dilemma: Titolare o Responsabile del trattamento?
Quando un’Azienda decide di esternalizzare un servizio deve porsi il problema, sul fronte privacy, di qualificare il Fornitore nel modo corretto. 

Il che significa, al lato pratico, stipulare un contratto con l’outsourcer che assume, dunque, la qualifica di Responsabile del trattamento.

La necessità di “…un contratto o altro atto giuridico”, pena sanzioni di cui all’art. 83 – GDPR, risiede nel fatto che, attraverso questo strumento, si può capire se il trattamento dei dati si può fare ed a quali condizioni.

Il dilemma, allora, dell’esatta qualificazione giuridica – se Titolare o Responsabile – dipende da una corretta individuazione di queste due figure.

Il criterio generale segue questo schema: Titolare è colui che decide “finalità e mezzi”.
Responsabile è invece colui che gestisce le attività di trattamento o parte di esse, per conto del primo.

Detto così pare facile, ma di fatto non lo è.

Anzi, molto spesso, nella pratica, i passaggi di dati non sono altro che un crocevia intricato di flussi con la conseguenza che i ruoli non si riescono a definire.

 

Accountability: l’identikit tracciato dalle Linee Guida 7/2020 – EDPB

Di recente, i Garanti europei riuniti nel Comitato europeo per la protezione dei dati – cd EDPB hanno stilato una prima versione delle «Linee Guida sui concetti di Titolare del trattamento e Responsabile del trattamento del GDPR».

Il taglio dato come di consueto è pratico. Decisamente apprezzabili sono gli esempi ai quali si rinvia.

Ciò nonostante, tuttavia, la materia lascia margini di incertezza applicativa poichè condotta dall’Accountability che di fatto si traduce nella soluzione “caso per caso”, a seconda del contesto: un altro modo cioè per dire che non vi è alcuna regola fissa.

Per tratteggiare dunque l’identikit di un Responsabile, ecco che l’EDPB offre dei criteri che potremmo così, di seguito, tratteggiare:

  • oggettivo quando il trattamento non coinvolge altri se non un solo soggetto che sarà l’unico Titolare;
  • soggettivo normativo in caso di una pluralità di soggetti coinvolti nel trattamento, bisogna trovare la norma dell’Ordinamento che indichi, in modo esplicito, il Titolare;
  • soggettivo funzionale in assenza di norma, il trattamento è necessario per realizzare un compito/funzione col quale il soggetto assegnatario sarà da considerare il Titolare;
  • oggettivo operativo dovendo ricorrere alla valutazione di elementi operativi (come la gestione effettiva coi propri mezzi, ecc.).

Fattori Indicativi: Titolarità vs Responsabilità 

Le Linee Guida riportano, in ogni caso, alcuni fattori indicativi quali:

  • Titolarità:
  1. Legittimo interesse al trattamento
  2. Potere decisionale
  3. Piena autonomia decisionale
  4. Attività del trattamento in senso oggettivo
  • Responsabilità:
  1. Trattamento dati per conto del Titolare
  2. Finalità stabilite dal Titolare
  3. Monitoraggio da altri
  4. Istruzioni su come trattare i dati, senza dover perseguire altre finalità se non quelle di adempimento contrattuale

Conseguenze e conclusioni

Ad eccezione dei casi complessi, riteniamo che la soluzione vincente sia allora quella di avvalersi di Fornitori esterni che garantiscano affidabilità e competenza anche in termini di privacy.

Attenti alla protezione dei dati potendolo evincere già solo dai contenuti dell’Atto con il quale questi si dichiarano “Responsabili” (ex art. 28 – GDPR); specialmente se fornitori di servizi ICT, come la ns realtà.

Questo richiede non solo capacità e competenza, ma anche attenzione e sensibilizzazione verso temi che necessitano di un aggiornamento costante, con lo stesso spirito con il quale si deve manutenere un Sistema di Gestione Privacy per essere efficaci ed efficienti.

Torna all’indice

Torna in alto