Il Responsabile del Trattamento dei dati personali è uno dei soggetti di assoluta rilevanza nell’applicazione del Regolamento Europeo 2016/679 (cd. GDPR). Scopriamo insieme il ruolo, i doveri e le caratteristiche principali che contraddistinguono questa importante figura all’interno del GDPR.
Chi è il Responsabile del Trattamento dei dati personali?
Il Responsabile del Trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento” (art. 4, par. 8 GDPR).
È una figura privacy che riveste un ruolo di rilievo nell’ambito della protezione dei dati personali al pari del Titolare e della persona autorizzata.
Alcuni esempi di Responsabile del Trattamento.
Nel contesto aziendale, i Responsabili del Trattamento corrispondono a fornitori di servizi per l’erogazione dei quali è necessario trattare dati personali.
Un esempio classico è la figura del consulente del lavoro in ambito risorse umane, ma altri esempi possono essere individuati in diverse tipologie di soggetti a seconda delle attività, come:
- la web agency che gestisce i siti web,
- lo sviluppatore del software gestionale aziendale,
- il fornitore della piattaforma di e-mail marketing in dotazione alle vendite oppure nel servizio di vigilanza esterno che verifica gli ingressi negli uffici;
…e molti altri soggetti terzi all’organizzazione.
Che cosa fa il Responsabile del Trattamento?
Il Responsabile del Trattamento tratta i dati personali per conto del Titolare del trattamento.
Il GDPR detta anche degli obblighi direttamente applicabili ai Responsabili del trattamento dei dati.
Precisamente il GDPR prevede che il Responsabile deve:
- mettere in atto misure tecniche e organizzative adeguate;
- osservare le istruzioni ricevute dal Titolare;
- assistere il Titolare nel fornire riscontro agli interessati nell’esercizio dei loro diritti;
- cancellare i dati al termine del trattamento;
- mettere a disposizione del Titolare tutte le informazioni atte a dimostrare il rispetto degli obblighi a suo carico;
- tenere un registro di tutte le categorie di attività relative al trattamento svolte per conto del Titolare.
Quali sono i requisiti per poter agire come Responsabile?
La figura del Responsabile è disciplinata puntualmente all’art. 28 del GDPR.
La norma stabilisce che, il responsabile del trattamento deve presentare garanzie sufficienti per l’adozione di misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato.
Tali garanzie devono essere valutate con riferimento alle conoscenze specifiche del Responsabile, al suo grado di affidabilità, alle risorse tecniche di cui dispone, all’adesione a codici di condotta o a meccanismi di certificazione riconosciuti.
Per poter agire come Responsabile del trattamento occorrono quindi due requisiti:
- essere un soggetto distinto dal Titolare del trattamento: il Titolare del trattamento decide quindi di delegare in tutto o in parte le attività di trattamento ad un’organizzazione esterna;
- trattare i dati personali per conto del Titolare: questa attività di trattamento può essere limitata a un compito o ad un contesto molto specifico o può essere più generale ed ampia. Nello specifico, il Responsabile del trattamento tratterà i dati a beneficio del Titolare e non per perseguire scopi propri.
Il Responsabile del trattamento è esterno o interno?
Sotto la vigenza della normativa del Codice Privacy era prassi consolidata prevedere, oltre al Responsabile esterno, anche la figura del “Responsabile interno”.
Con tale figura si intendevano dipendenti o collaboratori del Titolare ai quali venivano affidati compiti specifici in materia di tutela dei dati personali.
La distinzione tra Responsabile interno ed esterno era una prassi operativa solo italiana.
L’entrata in vigore del Regolamento Europeo ha reso necessario un cambio di prospettiva. Infatti, sia l’art. 29, sia l’art. 28 del GDPR sono stati redatti con riferimento a soggetti esterni all’organizzazione.
Non vi è infatti, alcun collegamento a soggetti interni all’azienda.
Inoltre, il dubbio sulla configurabilità di un Responsabile interno viene meno anche dall’attuale formulazione dell’art. 2 quaterdecies del d.lgs. 196/2003, introdotto dal d.lgs. 101/2018 il quale ha previsto una figura (soggetto designato) che corrisponde, nella sostanza, al Responsabile interno, ma che trova la propria base normativa nel Codice Privacy e non nell’art. 28 GDPR.
Pertanto, ad oggi, la teoria del Responsabile interno è da ritenersi superata, anche se il dibattito tra gli esperti rimane ancora aperto.
Chi designa il Responsabile del Trattamento? Aspetti contrattuali.
A differenza di quanto previsto dalla normativa previgente dove la designazione del Responsabile era facoltativa, il Regolamento Europeo rende tale designazione obbligatoria.
Il GDPR, infatti, prevede all’art. 28 par. 3 che i trattamenti del Responsabile devono essere disciplinati da un contratto o altro atto giuridico vincolante, che preveda i seguenti elementi: l’oggetto del trattamento, la durata del trattamento, la natura del trattamento, il tipo di dati personali, le categorie di interessati, gli obblighi ed i diritti del Titolare del trattamento.
Sebbene la Commissione europea, con la decisione di esecuzione (UE) 2021/915 del 4 giugno 2021, abbia fornito delle clausole contrattuali tipo che soddisfano i requisiti per i contratti tra Titolari e Responsabili del trattamento di cui all’articolo 28, par. 3 e 4 del Regolamento, la forma dell’atto è libera.
Vanno però ricompresi esplicitamente gli otto punti indicati all’art. 28, par. 3 del GDPR:
- tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
- garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- adotti tutte le misure richieste ai sensi dell’articolo 32;
- rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
- tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
- assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
- su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;
- metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.
L’accordo deve includere informazioni dettagliate e concrete sui compiti e responsabilità del Responsabile e sul livello di sicurezza necessario per il trattamento dei dati personali oggetto del contratto di trattamento.
Va specificato infine che il contratto deve avere forma scritta, anche in formato elettronico.
Nella pratica, il trattamento dei dati non può aver luogo prima della stipula del contratto fra Titolare e Responsabile.
Il Responsabile del Trattamento può ricorrere ad un altro responsabile?
Il trattamento dei dati personali può coinvolgere una catena di più responsabili.
Una delle più significative novità introdotte dal Regolamento Europeo, prima vietata nella normativa previgente, è la facoltà del Responsabile del trattamento di avvalersi di altri soggetti che lo supportino nelle attività di trattamento per conto del Titolare del Trattamento.
La nomina del Sub- Responsabile avviene mediante un contratto o altro atto giuridico, contenete gli stessi obblighi in materia di protezione dei dati presenti nel contratto o in altro atto giuridico tra il Titolare del trattamento e il Responsabile del trattamento.
Per poter ricorrere a tali soggetti per l’esecuzione di specifiche attività di trattamento è necessaria l’autorizzazione scritta, specifica o generale del Titolare del trattamento.
Nel primo caso è fondamentale che il Titolare venga a conoscenza di dettagliate informazioni riguardanti i singoli Sub-Responsabili, mentre nel secondo caso, il Responsabile è tenuto ad informare il Titolare in merito a qualsiasi modifica riguardante il sub Responsabile dando la possibilità al Titolare di opporsi.
In caso di inadempimento degli obblighi del sub Responsabile, la responsabilità ricade sul primo Responsabile, il quale conserva nei confronti del Titolare l’intera responsabilità.
Come gestire i propri Responsabili del Trattamento?
La crescente esternalizzazione di servizi di ogni genere e la diffusione dei servizi IT legata alla digitalizzazione del lavoro hanno portato alle stelle il numero di responsabili del trattamento con cui rapportarsi, anche per le aziende di piccole dimensioni.
I numerosi obblighi imposti dalla normativa vanno quindi moltiplicati per ogni responsabile e tenere le redini di questo processo non è cosa di poco conto. Cosa fare dunque? Vediamo gli step da seguire.
- Innanzitutto, è rilevante riuscire individuare i fornitori che si configurano come Responsabili del trattamento in tempi rapidi.
- Va svolta un’analisi dei fornitori e del loro perimetro di attività per verificare eventuali trattamenti di dati personali svolti “per conto” dell’azienda. Partire dai fornitori di servizi è il primo passo.
- Successivamente è necessario valutare il responsabile per stabilire se possiede le garanzie sufficienti richieste dalla normativa.
- Questa operazione va svolta preliminarmente, tramite l’invio di specifiche checklist o tramite un audit.
- Il processo di stipula della nomina spesso è interrotto da trattative, richieste di informazioni o da richieste di spiegazioni o integrazioni di specifiche clausole.
- È bene quindi muoversi per tempo coinvolgendo i referenti interni per fare in modo da evitare ritardi, che si rifletteranno inevitabilmente sull’erogazione del servizio, che non può attivarsi in assenza di nomina.
- Spesso i fornitori di servizi propongono propri testi di nomina a Responsabile integrati nei contratti o nei termini di servizio e ritenuti accettati alla firma del contratto commerciale.
- Risulta quindi essenziale poter ricevere in tempo i contratti prima che vengano firmati, per verificare, ad esempio, che la nomina proposta dal fornitore non violi i termini dell’art. 28 par. 3 del GDPR.
- Infine, le garanzie adeguate e in generale lo stato di compliance delle attività del responsabile sono soggetti a verifiche da parte del Titolare.
Anche in questo caso tali aspetti possono essere verificati attraverso l’invio di checklist (che tengano in considerazione anche aspetti di cyber security) o l’esecuzione di audit, a seconda del servizio fornito dal responsabile.
Una ultima attività potrebbe essere quella di verificare che i fornitori che hanno terminato il proprio servizio abbiano effettivamente restituito o cancellato i dati personali forniti, ad esempio facendosi rilasciare una apposita dichiarazione.
Quali sono i compiti del Responsabile in caso di Data Breach?
Come noto, l’introduzione del GDPR è volta a tutelare i diritti degli interessati.
Per far fronte all’eventuale violazione di dati personali (Data Breach) , il Regolamento impone tanto al Titolare quanto al Responsabile del trattamento di disporre di misure tecniche e organizzative adeguate a garantire un livello di sicurezza commisurato al rischio cui sono esposti i dati personali trattati, individuando, trattando e segnalando tempestivamente una possibile violazione.
Precisamente, l’articolo 33, paragrafo 2 del GDPR, prevede che in caso di violazione dei dati personali, il Responsabile del trattamento deve informare il Titolare del trattamento dell’avvenuta violazione dei dati “senza ingiustificato ritardo”.
L’obbligo del Responsabile del trattamento di effettuare la notifica al Titolare del trattamento consente a quest’ultimo di far fronte alla violazione e di stabilire se deve notificarla all’autorità di controllo.
Ad ogni modo, i requisiti per una notifica tempestiva da parte del Responsabile del trattamento devono essere specificati nel contratto stipulato tra Titolare e Responsabile.
Nell’ipotesi in cui il Responsabile svolga trattamento per più Titolare interessati al medesimo incidente, sarà onere del Responsabile informare tutti i destinatari dell’accaduto.
Questa ipotesi è particolarmente rilevante nei casi, sempre più frequenti, di attacchi informatici di tipo Supply Chain, dove i fornitori (o asset e servizi dei fornitori) vengono attaccati ed utilizzati come punto di accesso agli asset aziendali.
Il fornitore di servizi è sempre Responsabile del trattamento? Il caso dell’avvocato.
Spesso ci si chiede se tutti i fornitori di servizi che trattano dati personali nel corso della propria attività siano identificati come Responsabili del trattamento.
Il Comitato Europeo per la protezione dei dati (European Data Protection Board, EDPB) ha fornito una risposta negativa. Infatti, ha chiarito che il ruolo di Responsabile del trattamento non deriva dalla natura di un soggetto, ma dalle sue attività concrete in un contesto specifico.
Un esempio di particolare rilevante è quello riferito agli avvocati.
A seconda del tipo di attività che quest’ultimi svolgono possono qualificarsi quali Titolari autonomi o al contrario Responsabili del Trattamento. Possono distinguersi due ipotesi.
Nel caso in cui l’avvocato tratta dati del proprio cliente, nell’ambito dell’attività di rappresentanza giudiziale o precontenziosa, si configura come Titolare autonomo.
Diverso è il caso in cui l’avvocato presta attività di consulenza, al di fuori di un mandato per la rappresentanza in giudizio.
Tali consulenze si configurano come attività di servizi che comportano il trattamento di dati per conto del Titolare. In questa ipotesi l’avvocato dovrà essere nominato Responsabile del trattamento da parte del Titolare.
Ad ogni modo, per una corretta qualificazione del soggetto coinvolto nel trattamento dei dati personali è necessario un’analisi caso per caso per stabilirne l’influenza esercitata dal soggetto in questione.
Come organizzare al meglio le figure responsabili coinvolte all’interno dell’azienda?
Nella logica di razionalizzare i processi di compliance, l’azienda può dotarsi di un sistema gestionale privacy che comprenda, tra gli altri moduli, un registro delle terze parti che aiuti a tenere traccia di parametri come ad esempio:
- stato del responsabile (attivo o non più attivo)
- data di nomina
- stato della nomina (firmata o in trattativa)
- data di cessazione del servizio (e quindi della nomina)
- categorie di dati trattati
- interessati coinvolti
- descrizione del trattamento
Un’ottima prassi è quella di riuscire a ricondurre i singoli responsabili ai diversi trattamenti mappati all’interno del registro delle attività di trattamento e nella relativa valutazione dei rischi privacy.
Questo per aver chiaro l’effettivo flusso di dati che escono dal perimetro organizzativo aziendale per entrare in quello di terzi.
Se avessi bisogno del nostro supporto tramite consulenza, restiamo a tua disposizione.