Responsabile esterno del trattamento GDPR: linee guida - Legal For Digital
Blog di Legal For Digital

Responsabile esterno del trattamento GDPR: linee guida

responsabile-esterno-del-trattamento-GDPR

La figura del responsabile del trattamento non è una novità introdotta dal GDPR.

Ma il GDPR delinea le caratteristiche del responsabile in maniera molto più puntuale rispetto al codice privacy precedentemente in vigore.

Il regolamento europeo introduce una disciplina specifica che permette di distinguere chiaramente il responsabile dal titolare del trattamento dei dati.

Inoltre abolisce la figura del responsabile “interno” del trattamento, specificando che il responsabile del trattamento è esterno rispetto all’impresa titolare del trattamento.

Responsabile esterno del trattamento GDPR: definizione

Il regolamento europeo definisce il responsabile esterno del trattamento come la persona fisica o giuridica, autorità pubblica o organismo che tratta i dati per conto del titolare del trattamento. 

In base al GDPR responsabile e titolare hanno compiti e doveri molto simili. Inoltre il GDPR definisce obblighi e responsabilità direttamente applicabili al responsabile privacy.

La conformità al GDPR è un obbligo condiviso da titolare e responsabile del trattamento. In particolare i principi dell’articolo 5 del GDPR relativi al trattamento dei dati personali si applicano ai responsabili del trattamento tanto quanto si applicano ai titolari del trattamento dei dati.

Inoltre, i responsabili del trattamento dei dati devono assistere i titolari del trattamento in varie circostanze; ad esempio in una potenziale notifica di violazione dei dati personali, o nel prendere in considerazione una valutazione d’impatto sulla protezione dei dati.

Responsabile “esterno”: cosa vuol dire?

Una delle caratteristiche del responsabile del trattamento dati è che il GDPR lo definisce come un soggetto esterno all’impresa. Quindi questo ruolo non può essere svolto da un dipendente. Se il titolare affida l’elaborazione di dati ad altri soggetti all’interno dell’azienda, lo farà dando loro il ruolo di incaricati del trattamento. Per il loro operato risponderanno titolare e responsabile del trattamento in funzione ognuno del proprio ruolo. 

Il titolare non può scegliere casualmente il responsabile trattamento dati: l’art. 28 stabilisce che il titolare trattamento dati deve assicurarsi di collaborare con responsabili del trattamento che offrono sufficienti garanzie in merito alla loro effettiva capacità di elaborare i dati personali in linea con il GDPR e la protezione dei diritti dell’interessato. Vale a dire che è onere del titolare accertarsi che i responsabili siano figure conformi ai requisiti richiesti dal regolamento privacy. 

Responsabile esterno del trattamento GDPR: il contratto

Quando il titolare decide di esternalizzare il trattamento dei dati ha l’obbligo di stipulare un contratto, o altro atto giuridico con la persona fisica o giuridica, che tratterà i dati e diventerà quindi responsabile del trattamento.

Il GDPR definisce i contenuti minimi del contratto:

  • Impartisce al responsabile le istruzioni per trattare i dati
  • Indica la natura e le finalità del trattamento 
  • Elenca il tipo di dati trattati
  • Definisce le categorie di interessati
  • Precisa gli obblighi e i diritti del titolare del trattamento

“Nomina” responsabile trattamento dati: cosa significa? 

Nonostante che il GDPR sia molto preciso nello stabilire le caratteristiche che deve avere l’atto con cui il titolare designa il responsabile del trattamento, nulla dice in merito alla designazione da un punto di vista operativo. Cosa significa “designare”? Il GDPR non dice mai esplicitamente che il titolare nomina il responsabile trattamento dati. Parla direttamente del rapporto contrattuale fra i due soggetti. 

Cosa succede quando vengono trattati dati senza aver stipulato un contratto?

Si possono avere questi casi: 

Responsabile che eccede il mandato: in questo caso il soggetto diventa titolare di fatto per quei dati in esubero che ha trattato, con tutte le responsabilità che questo comporta.

Responsabile che agisce senza contratto: il contratto serve a formalizzare un comportamento che già di per sé ha rilevanza giuridica. Quindi le responsabilità derivano dal rapporto tra le parti e l’attività effettivamente svolta. Il responsabile “di fatto” del trattamento dati sarà passibile di multa per aver trattato i dati pur non essendo autorizzato. 

Responsabile che rifiuta la nomina: la mancata sottoscrizione dell’accordo non esime la persona fisica o giuridica dalle responsabilità che derivano dall’art. 28 del GDPR, per lo stesso motivo di cui sopra: le responsabilità derivano dal comportamento effettivo, non dal contratto. 

In tutte queste ipotesi anche il titolare è passibile di multa, perché essendo custode dei dati trattati, è sui dovere garantirne la protezione. Inoltre ha il dovere di supervisione e modifica dell’operato del responsabile del trattamento.

Responsabile esterno del trattamento e GDPR e titolare del trattamento GDPR: le differenze

Per un utente, ma a volte per la stessa persona che tratta i dati, non è semplice capire chi è il titolare del trattamento e chi è il responsabile.

Quindi andiamo subito a definire ciò che distingue le due figure: 

Titolare del trattamento GDPR: 

  • Decide di raccogliere e processare i dati personali;
  • Determina le finalità del trattamento;
  • Valuta quali dati personali raccogliere;
  • Trae un beneficio economico o di altro tipo nel raccogliere i dati;
  • Può raccogliere i dati grazie ad un accordo che stipula con colui che poi diventerà l’interessato al trattamento: c’è quindi un rapporto diretto con l’interessato al trattamento;
  • Nell‘informativa privacy vengono inseriti i suoi dati;
  • Prende qualsiasi decisione che riguarda il trattamento. Ad esempio è l’unico che può decidere se notificare al garante il databreach;
  • Ha completa autonomia decisionale sulla modalità di trattamento dei dati.

Responsabile esterno del trattamento GDPR:

  • Segue le istruzioni che gli vengono date per trattare i dati;
  • I dati da trattare provengono da un terzo;
  • Non decide in autonomia di trattare dati personali;
  • Non ha il potere decisionale su quali dati personali raccogliere;
  • Non ha la responsabilità di sapere su quale base giuridica i dati vengono raccolti;
  • Non decide se divulgare i dati, oppure a chi divulgarli;
  • Non determina per quanto tempo i dati possono essere trattati;
  • Ha un limitato potere decisionale sulle modalità di trattamento dei dati, ma per mettere in pratica le sue decisioni ha bisogno dell’autorizzazione;
  • Non è interessato all’esito del trattamento dei dati.

Queste, in sintesi, sono le differenze fra il titolare e il responsabile del trattamento. 

Responsabile esterno del trattamento GDPR: obblighi

Premessa: sia i titolari del trattamento che i responsabili del trattamento hanno obblighi nei confronti degli interessati e del garante privacy, che scaturiscono direttamente dal GDPR.

Inoltre il titolare del trattamento dati può sempre intervenire a sindacare l’attività del responsabile, quindi ha un dovere di sorveglianza su tutto l’operato del responsabile del trattamento.

Premesso questo, quali sono i doveri e le responsabilità proprie del responsabile esterno del trattamento GDPR:

  • Processare i dati seguendo le istruzioni del titolare del trattamento
  • Garantire la sicurezza dei dati: attraverso l’utilizzo di misure tecniche e organizzative a norma di GDPR, e idonee a proteggere i diritti dell’interessato
  • Rispettare le stesse norme previste da GDPR per il titolare del trattamento, relative alla raccolta e conservazione dei dati: applicazione dei principi di privacy by design e privacy by default. 
  • Deve assicurarsi che gli incaricati al trattamento di cui si avvale diano le idonee garanzie di segretezza, e mettano in atto tutte le misure idonee al caso concreto per mantenere i dati al sicuro
  • Ha un dovere di trasparenza: deve avere un suo registro del trattamento, sempre aggiornato, in cui inserisce anche i nomi e i recapiti di eventuali responsabili del trattamento da lui nominati e dell’eventuale DPO
  • Se delega altri responsabili del trattamento deve stipulare un contratto con loro, in cui definisce quali dati saranno trattati, per quanto tempo e le istruzioni che devono seguire.
  • Se il responsabile del trattamento ritiene che le istruzioni ricevute dal titolare violino il GDPR o la normativa nazionale, ha la responsabilità di comunicarglielo. Da ciò deriva un obbligo di generale controllo di conformità che il GDPR attribuisce al responsabile del trattamento.
  • Ha l’obbligo di notifica al titolare del trattamento in caso di databreach
  • Restistuisce i dati o li cancella una volta raggiunta la finalità del trattamento 
  • Nel caso in cui il responsabile designato sia fuori dai Paesi membri UE, deve nominare un suo rappresentante interno all’UE.

Titolare e responsabile: doveri comuni e responsabilità condivise

  • In caso di trattamento in violazione del GDPR, il responsabile risponde congiuntamente al titolare. Ma per quanto riguarda il danno causato all’interessato risponde nel limite in cui ha agito senza rispettare le istruzioni del titolare o se ha violato le norme del GDPR. 
  • Il responsabile ha il dovere di assistere il titolare del trattamento per quanto riguarda le richieste degli interessati al trattamento
  • Assiste il titolare nella fase di valutazione del rischio, e contribuisce alla valutazione dell’opprtunità di redigere il DPIA
  • Deve rendersi reperibile e supportare il titolare del trattamento per dimostrare la compliance al GDPR
  • Deve cooperare nel caso in cui siano fatti controlli e ispezioni da parte dell’autorità garante della privacy

Responsabile esterno del trattamento GDPR: esempi

  • Il dipartimento HR della tua organizzazione definisce dei metodi per elaborare i dati personali di candidati e dipendenti che devono essere protetti e utilizzati. Alcune di queste attività di elaborazione dei dati delle risorse umane potrebbero essere esternalizzate. La società a cui affidi queste mansioni è un responsabile del trattamento.
  • Il team di marketing elabora i dati personali di clienti potenziali ed esistenti. Quando collabora con un’agenzia di email marketing, ad esempio, che utilizza questi dati per le campagne, l’agenzia è responsabile del trattamento. .
  • Potresti aver esternalizzato le attività del contact center in entrata per la tua azienda. Il contact center diventa quindi il responsabile del trattamento che acquisisce i dati degli interessati

Gli esempi possono essere molteplici. Quello che accade spesso però è che non c’è un solo responsabile del trattamento, ma ce ne sono diversi, e, in alcuni casi, è lo stesso responsabile del trattamento che incarica del trattamento dati altri soggetti che diventano responsabili di secondo livello. Ad esempio la tua agenzia di marketing (responsabile del trattamento) lavora con dei freelance per compiti specifici, per cui questi partner elaborano anche i dati personali e diventano quindi a loro volta responsabili.

Il responsabile del trattamento può delegare ad altri l’elaborazione dei dati?

ART. 28: La “catena di responsabilità”

Da un lato la normativa europea amplia al massimo la definizione di “trattamento dati”, per cui di riflesso amplia la definizione di responsabile del trattamento (anche il corriere mentre trasporta i pacchi con su scritto l’indirizzo dell’interessato è un responsabile del trattamento). D’altro lato al giorno d’oggi la circolazione dei dati segue un iter complesso. Con lo sviluppo del marketing digitale, i dati personali sono diventati il fulcro delle strategie e ogni professionista si è specializzato in un settore del funnel. Quindi i dati passano di soggetto in soggetto.

Più sono i soggetti che elaborano i dati, più i dati sono a rischio.

Questa è la ragione per cui il GDPR ha puntualizzato quali sono gli obblighi del responsabile del trattamento, e ha previsto anche la situazione di “concatenazione” delle responsabilità:

L’art. 28 stabilisce che il responsabile del trattamento può ricorrere ad altri responsabili del trattamento solo previa autorizzazione scritta del titolare. Inoltre ogni cambiamento che riguarda i responsabili di secondo o terzo grado deve essere notificato al titolare e da lui approvato. 

La normativa prevede che il responsabile del trattamento che incarica il soggetto terzo di elaborare i dati dell’interessato, deve stipulare  un contratto che ricalca quello stipulato fra il titolare del trattamento e il responsabile stesso. Quindi medesimi obblighi, istruzioni e responsabilità. Qualora il sub-responsabile non rispetti il contratto, rimane responsabile a pieno titolo il responsabile originario del trattamento dati. Quindi che i dati siano trattati da lui o da qualcun altro, i suoi obblighi rimangono intatti. 

Conclusioni

Difficilmente i titolari del trattamento si avvalgono dell’uso di contratti come richiesto dal GDPR, salvo casi di aziende titolari del trattamento particolarmente organizzate e compliance. Eppure ogni giorno ci si avvale della collaborazione di soggetti esterni: per l’elaborazione delle buste paga, per l’utilizzo di servizi di recruiting, per sviluppare una strategia di marketing digitale.

Si è quindi sviluppata la prassi per cui sono i responsabili del trattamento a inserire la propria nomina a responsabile nel contratto con cui si impegnano ad erogare un servizio. 

Tuttavia anche qui sono molti i professionisti che non sono consapevoli del fatto che stanno agendo come responsabili del trattamento e sono passibili di multa. Quindi in circolazione ci sono molti meno contratti di nomina a responsabile di quelli che dovrebbero esserci. Ce ne accorgiamo ogni giorno con la nostra attività in studio. Spesso abbiamo infatti a che vedere con consulenti di marketing che hanno il ruolo di responsabili del trattamento. Quindi di default inseriamo la nomina di responsabile nel contratto che devono stipulare con il cliente che richiede il loro servizio.

Strumenti che ormai dovrebbero essere di uso quotidiano, sono a tutt’oggi una rarità. È ancora necessario fare un’attività di educazione al GDPR.

Condividi l'articolo

Condividi su facebook
Condividi su linkedin
Condividi su telegram

Iscriviti alla nostra NewsLetter

RIMANI AGGIORNATO