Il ruolo del responsabile del trattamento nel GDPR

di Arianna Landolfi

La figura del responsabile del trattamento, così come delineata dal Regolamento n. 679/2016 generale sulla protezione dei dati, anche noto come GDPR, va incontro a nuove sfide e tenta di delineare una struttura più razionale della catena di rapporti tra i vari soggetti coinvolti nel trattamento dei dati. Il nuovo dettato normativo, che diverrà pienamente efficace a partire dal 25 maggio 2018, continua a generare problematiche interpretative di non poco conto. Anche sulla figura del responsabile del trattamento sono sorti alcuni dubbi interpretativi riguardanti una varietà di ambiti.

1. Il responsabile interno ed esterno del trattamento

Dal punto di vista soggettivo, un tema particolarmente dibattuto concerne il mantenimento della duplicità di tipologia di responsabile del trattamento: interno, in caso di designazione di uno o più soggetti interni alla struttura del Titolare ed esterno, qualora venisse designata una persona, fisica o giuridica, distinta ed esterna al titolare, che agisca per conto di quest’ultimo. Nelle maglie ampie del dettato normativo della Direttiva 95/46 e la conseguente trasposizione a livello dei singoli Stati membri della disciplina di data protection, la figura del responsabile interno è stata accolta da vari ordinamenti, tra cui quello italiano. Altre nazioni, tra cui la Francia, hanno invece adottato una posizione distinta. La Commission Nationale de l’Informatique et des Libertés (c.d. “CNIL”) ha infatti sostenuto, richiamando il parere 1/2010 del WP29, che di responsabile del trattamento si parla nel solo caso di affidamento di attività a soggetti terzi, che agiscono per conto del titolare.

Dal combinato disposto di alcune previsioni del GDPR sembra evincersi che la normativa europea abbia posto in rilievo unicamente la figura del responsabile esterno. Nonostante una definizione ampia prevista dall’art. 4, n. 8, che considera responsabile del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”, vi sono infatti delle previsioni specifiche da cui emerge che tale soggetto può unicamente essere esterno alla struttura del Titolare. Tali sono ad esempio le previsioni di realizzazione di attività di audit da parte di quest’ultimo, che assumerebbero senso se effettuate nei confronti di un soggetto esterno e distinto dal titolare stesso. In aggiunta, si potrebbe altresì argomentare che in altri casi in cui l’inquadramento della figura risultava incerto, è stato il medesimo dettato normativo a sciogliere il nodo interpretativo: è il caso del Data Protection Officer, in merito al quale l’art. 37, co. 6 del GDPR prevede espressamente che possa essere un soggetto interno o esterno alla struttura del titolare o del responsabile.

Una simile interpretazione risulterebbe in contrasto con quanto sinora applicato in territorio italiano, in cui la figura del responsabile è stata concepita anche come ruolo interno, suscettibile di essere attribuito ad alcuni dipendenti del titolare volto a garantire, mediante una ripartizione dei ruoli interni, la supervisione della compliance aziendale in materia di data protection. Tale interpretazione deriva dall’ampio dettato normativo del vigente Codice privacy. Ciononostante, dopo una prima modifica all’art. 29 del Codice, mediante la legge europea n. 167/2017, con cui, pur aggiungendo un quarto comma bis e modificando il quinto comma non si modificava il dualismo iniziale tra responsabile interno ed esterno, con l’attuale schema di decreto legislativo, abrogativo del Codice privacy, anche l’ordinamento italiano sembra circoscrivere la figura del responsabile nei limiti soggettivi previsti dal GDPR.

In modo più esplicito, il nuovo schema di decreto legislativo, attualmente al vaglio delle commissioni parlamentari competenti e del Garante della privacy, mediante il quale verrebbe abrogato definitivamente l’intero Codice privacy a partire dal 25 maggio 2018, supporta la tendenza del GDPR a mantenere il responsabile del trattamento come esterno. Il primo comma dell’art. 14 prevede infatti che “Il titolare o il responsabile del trattamento possono prevedere, nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche espressamente designate che operano sotto la loro autorità”. Da tali previsioni sembrerebbe evincersi che il responsabile, dotato di proprio assetto organizzativo, debba necessariamente distinguersi dal titolare.
Nonostante ciò, ai fini di poter garantire una piena applicazione del principio di accountability, a parere di chi scrive non risulterebbe preclusa la facoltà del titolare di strutturarsi adeguatamente a livello interno. Pur mantenendosi la figura del responsabile propriamente per le relazioni con soggetti esterni, ciò non esime il titolare dal potersi dotare (e dal dotarsi) al proprio interno di un’adeguata struttura che garantisca la compliance aziendale in tema di data protection.

2. Il rapporto tra titolare e responsabile

Definita la portata soggettiva della figura del responsabile, risulta opportuno analizzare con che criteri e come viene formalizzata la relazione tra titolare e responsabile del trattamento. A tale fine, occorre fare riferimento principalmente all’art. 28 del GDPR. Quest’ultimo evidenzia infatti la necessità da parte del titolare, qualora ritenga di non poter svolgere totalmente le proprie attività mediante proprie risorse interne, di potersi avvalere di soggetti terzi che agiscano per suo conto.
Rilevante è il momento della valutazione da parte del titolare dell’idoneità del terzo ad essere designato responsabile del trattamento; all’interno del principio di accountability si colloca infatti anche la valutazione dei requisiti offerti da potenziali responsabili del trattamento. Il titolare è tenuto a nominare unicamente quei soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a garantire lo svolgimento di trattamenti in modo conforme alla normativa privacy nonché idoneo a tutelare i diritti dell’interessato. Tali garanzie dovranno essere valutate di volta in volta al momento della scelta e in base alle caratteristiche dei trattamenti da affidare al responsabile. Tra le garanzie da tenere in considerazione, risulta utile la valutazione di eventuali adesioni da parte del responsabile a codici di condotta o a meccanismi di certificazione. L’elemento meramente certificativo non esime però il titolare dall’effettuare altresì una verifica concreta dell’esistenza delle misure adeguate a garantire la corretta esecuzione dei trattamenti.

Tra le valutazioni da effettuare, dovrebbe considerarsi anche rilevante quella relativa all’adozione del DPO. L’art. 37 co. 1 stabilisce l’obbligo di dotazione di tale figura, qualora ricorra almeno una delle ipotesi previste nelle lettere a – c del medesimo comma, non solo da parte del titolare, quanto anche (o solo) da parte del responsabile del trattamento. Ciò potrebbe verificarsi, ad esempio, nel caso in cui il titolare, pur svolgendo al proprio interno attività che non rientrano tra le ipotesi di dotazione obbligatoria del DPO, affidi in outsourcing un’attività che, rientrando invece tra le ipotesi previste dall’art. 37, richieda la dotazione di tale figura da parte del responsabile. L’esistenza o meno del DPO presso il responsabile del trattamento dovrebbe, a parere di chi scrive, rientrare tra quei requisiti e misure che garantiscono l’adeguatezza di quanto adottato dal responsabile per adempiere al GDPR. Di conseguenza, al momento della valutazione dei requisiti, occorrerebbe tenere in considerazione anche l’esistenza di tale figura, qualora obbligatoria per l’attività assegnata al potenziale responsabile del trattamento.

Una volta effettuate le opportune valutazioni, il rapporto tra titolare e responsabile va disciplinato mediante la stipula di apposito contratto o altro atto giuridico vincolante. Ai sensi della normativa italiana, analogamente a quanto prescritto dal co. 9 dell’art. 28 del GDPR, il contratto o altro idoneo atto giuridico deve essere stipulato per iscritto, anche in forma elettronica. Desta interesse il riferimento agli “altri atti giuridici idonei a designare il responsabile”. Tra questi, la Agencia espaῆola de protecciòn de datos (c.d. AEPD) annovera provvedimenti amministrativi mediante cui viene fornita la delega. Ai sensi dei commi 7 e 8 dell’art. 28, titolare e responsabile possono fare riferimento a clausole contrattuali tipo, predisposte dalla Commissione europea o dalle autorità di controllo.
Indipendentemente dall’atto con cui viene formalizzata la nomina, quest’ultima deve contenere determinati elementi che delimitano la sfera di azione del responsabile, prescritti dal comma 3 dell’art. 28. Il responsabile è tenuto infatti a trattare i dati personali soltanto su istruzione documentata del titolare. In caso di violazione delle previsioni del GDPR determinando autonomamente finalità e mezzi del trattamento, superando pertanto le istruzioni impartite dal titolare, il responsabile è considerato un autonomo titolare del trattamento, suscettibile di applicazione di apposite sanzioni.
È opportuno inoltre prevedere determinati obblighi che dovranno essere adempiuti dal responsabile, riconducibili a varie categorie. Tra quelli organizzativi rientrano ad esempio la garanzia in merito al rispetto della riservatezza da parte delle persone autorizzate dal responsabile a trattare i dati, l’obbligo di dotazione delle misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio e, poiché agisce per conto del titolare del trattamento, l’osservanza delle prescrizioni in materia di privacy by design e by default.

Tra gli obblighi di trasparenza e di gestione rientra invece la tenuta del registro delle attività di trattamento svolte in qualità di responsabile, la messa a disposizione del titolare delle informazioni necessarie a dimostrare il rispetto degli obblighi e il consentire le attività di revisione, nonché di ispezione, realizzate dal titolare o da un altro soggetto incaricato da quest’ultimo. Al termine della prestazione dei servizi relativi al trattamento, il responsabile è tenuto inoltre alla cancellazione o alla devoluzione dei dati, su scelta del titolare, a quest’ultimo o ad altro responsabile. In caso di devoluzione, il responsabile dovrà cancellare le copie esistenti, salvo mantenimento di copia di back up per adempiere ad obblighi di legge, nazionale o europea, che impongano la conservazione dei dati.
Infine, rientrano tra gli obblighi di collaborazione il fornire supporto al titolare nella realizzazione della DPIA, nel gestire le richieste per l’esercizio dei diritti dell’interessato e nella notifica dei data breach. Per quanto concerne gli ultimi due adempimenti, le parti possono pattuire che gli adempimenti vengano svolti direttamente dal responsabile per conto del titolare.

3. Il sub – responsabile del trattamento

Per completare l’esame dei soggetti che agiscono per conto del titolare del trattamento, occorre soffermarsi altresì sulla figura del sub – responsabile. Il GDPR ha introdotto infatti quest’ulteriore figura rendendo più agevole la ripartizione dei ruoli rispetto alla disciplina anteriore, tenendo in considerazione in modo più attinente alla realtà la pluralità di soggetti che possono intervenire nello svolgimento di un determinato servizio.

Ai sensi della normativa vigente sino al 25 maggio 2018, ogni responsabile del trattamento può essere nominato solo dal titolare e può a sua volta nominare unicamente gli incaricati del trattamento. Eventuali subappaltatori del responsabile dovrebbero pertanto essere nominati di volta in volta dal titolare, salvo conferimento da parte di quest’ultimo di formale procura in favore del responsabile del trattamento per effettuare la nomina per suo conto. Al fine di poter ovviare alla pluralità di passaggi in capo al titolare e per responsabilizzare maggiormente il prestatore di servizio nell’avvalersi di soggetti terzi, il GDPR ha introdotto la figura del sub-responsabile del trattamento. Per potersi avvalere di tali soggetti, il responsabile deve ottenere una previa autorizzazione per iscritto da parte del titolare, che può essere specifica o generale. Nel primo caso il titolare, al momento del conferimento della suddetta autorizzazione, ha già effettuato le proprie valutazioni in merito all’opportunità e adeguatezza del terzo ad essere nominato sub-responsabile. In caso di autorizzazione generale, al contrario, il responsabile è tenuto ad informare il titolare in merito ai potenziali sub-responsabili, al fine di dare modo al titolare, entro il tempo concordato nel contratto, di potersi opporre in merito alla nomina. In mancanza di opposizione il responsabile può procedere a nominare il terzo sub-responsabile, mediante apposito contratto o altro atto giuridico vincolante, in cui dovranno essere inseriti i medesimi obblighi in materia di protezione dei dati contenuti nell’accordo stipulato tra titolare e responsabile iniziale.

Il responsabile deve pattuire inoltre con il sub-responsabile garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi le prescrizioni del GDPR. In caso di violazioni della normativa da parte del sub-responsabile, il responsabile iniziale mantiene la piena responsabilità dinanzi al titolare del trattamento.


Bibliografia

Directrices para la elaboraciòn de contratos entre responsables y encargados del tratamiento, Gennaio 2017, AEPD
Guida all’applicazione del Regolamento UE 2016/679, Febbraio 2018, Garante Privacy
Guide du sous-traitant, Settembre 2017, CNIL
Opinion 1/2010 on the concepts of “controller” and “processor”, 00264/10/EN WP 169, February 2010, Article 29 Data Protection Working Party.


Autore



Manuali consigliati per approfondire il ruolo del responsabile del trattamento: