⚖️ Responsabile esterno del trattamento GDPR: linee guida

La figura del Responsabile del trattamento dati non è una novità introdotta dal GDPR. È anche vero che l’art. 28 GDPR delinea le caratteristiche del Responsabile in maniera molto più puntuale rispetto al codice privacy precedentemente in vigore.

Il regolamento europeo privacy introduce una disciplina specifica che permette di distinguere chiaramente il Responsabile dal titolare del trattamento dei dati.

Inoltre abolisce la figura del responsabile “interno” del trattamento, specificando che il Responsabile del trattamento è esterno rispetto all’impresa Titolare del trattamento.

Modifiche, queste, che si inseriscono all’interno di un quadro di maggiore struttura, in grado di dare appigli più concreti a chiunque auspichi di trovare nella legge privacy chiarezza e disciplina.

Responsabile esterno del trattamento GDPR: definizione

Il regolamento europeo, all’art. 28, definisce il responsabile esterno del trattamento dati come la persona fisica o giuridica, autorità pubblica o organismo che tratta i dati per conto del Titolare del trattamento. 

In base al GDPR, invero, responsabile e titolare hanno compiti e doveri molto simili. È sempre il GDPR, del resto, a definire obblighi e responsabilità direttamente applicabili al responsabile privacy. La conformità al GDPR è un obbligo condiviso da titolare e responsabile del trattamento. In particolare i principi dell’articolo 5 del GDPR relativi al trattamento dei dati personali si applicano ai Responsabili del trattamento tanto quanto si applicano ai Titolari del trattamento dei dati.

Inoltre, i Responsabili del trattamento dei dati devono assistere i Titolari del trattamento in varie circostanze: ad esempio in una potenziale notifica di violazione dei dati personali o nel prendere in considerazione una valutazione d’impatto sulla protezione dei dati.

“Ho richiesto una consulenza su un tema molto attuale: la GDPR. Ho trovato una persona preparata e molto disponibile. Complimenti!”

Mariachiara Barsanti

Content e SMM freelance

Responsabile “esterno” del trattamento: cosa vuol dire?

Una delle caratteristiche del responsabile del trattamento dati è che l’art. 4 GDPR lo definisce come un soggetto esterno all’impresa. Ne consegue che questo ruolo non può essere svolto da un dipendente. La nomina del Responsabile trattamento dati spetta al Titolare del trattamento. Se il Titolare affida l’elaborazione di dati ad altri soggetti all’interno dell’azienda, lo farà dando loro il ruolo di incaricati del trattamento. Per il loro operato risponderanno Titolare e Responsabile del trattamento in funzione ognuno del proprio ruolo. 

Il Titolare non può scegliere casualmente il responsabile trattamento dati: l’art. 28 stabilisce che il Titolare trattamento dati deve assicurarsi di collaborare con Responsabili del trattamento che offrono sufficienti garanzie in merito alla loro effettiva capacità di elaborare i dati personali in linea con il GDPR e la protezione dei diritti dell’interessato. Vale a dire che è onere del Titolare accertarsi che i Responsabili siano figure conformi ai requisiti richiesti dal regolamento privacy. 

Requisiti essenziali del Responsabile trattamento dati personali sono:

• deve essere esterno rispetto all’azienda

• deve avere conoscenze approfondite del RGDPR.

Il titolare del trattamento, quando nomina il responsabile privacy, è tenuto ad allinearsi con queste direttive.

Nomina responsabile trattamento dati personali: il contratto

Quando il titolare decide di esternalizzare il trattamento dei dati, ha l’obbligo di stipulare un contratto, o altro atto giuridico, con la persona fisica o giuridica che tratterà i dati e diventerà, quindi, Responsabile del trattamento.

Il GDPR definisce i contenuti minimi del contratto, il quale:

• impartisce al responsabile le istruzioni per trattare i dati;
• indica la natura e le finalità del trattamento; 
• elenca il tipo di dati trattati;
• definisce le categorie di interessati;
• precisa gli obblighi e i diritti del titolare del trattamento.

“Nomina” responsabile trattamento dati: cosa significa? 

Nonostante il GDPR sia molto preciso nello stabilire le caratteristiche che deve avere l’atto con cui il titolare designa il Responsabile del trattamento dati personali, nulla dice in merito alla designazione da un punto di vista operativo.

Cosa significa “designare”? Il GDPR non specifica mai in che modo il Titolare nomini il Responsabile trattamento dati. Parla direttamente del rapporto contrattuale fra i due soggetti. 

Pertanto, cosa succede quando vengono trattati dati personali senza aver stipulato un contratto?

Si possono verificare i seguenti casi: 

• Responsabile dati che eccede il mandato: in questo caso il soggetto diventa titolare di fatto per quei dati in esubero che ha trattato, con tutte le responsabilità che questo comporta;
• Responsabile dati che agisce senza contratto: il contratto serve a formalizzare un comportamento che già di per sé ha rilevanza giuridica. Quindi, le responsabilità derivano dal rapporto tra le parti e l’attività effettivamente svolta. Il responsabile di fatto del trattamento dati sarà passibile di multa per aver trattato i dati pur non essendo autorizzato;
• Responsabile dati che rifiuta la nomina: la mancata sottoscrizione dell’accordo non esime la persona fisica o giuridica dalle responsabilità che derivano dall’art. 28 del GDPR, per lo stesso motivo di cui sopra: le responsabilità derivano dal comportamento effettivo, non dal contratto. 

In tutte queste ipotesi, anche il Titolare è passibile di multa perché, essendo custode dei dati trattati, è suo dovere garantirne la protezione. Inoltre, ha il dovere di supervisione e modifica dell’operato del Responsabile del trattamento.

Responsabile esterno del trattamento e GDPR e titolare del trattamento GDPR: le differenze

Per un utente, ma a volte per la stessa persona che tratta i dati, non è semplice capire chi è il Titolare del trattamento e chi è il Responsabile.

Ecco perché è forse il caso di distinguere le due figure, fissando i punti rilevanti della reciproca attività. 

Chi è e cosa fa il Titolare del trattamento GDPR?

Il Titolare del trattamento dati è il soggetto che:

• Decide di raccogliere e processare i dati personali;
• Determina le finalità del trattamento;
• Valuta quali dati personali raccogliere;
• Trae un beneficio economico o di altro tipo nel raccogliere i dati;
• Può raccogliere i dati grazie ad un accordo che stipula con colui che poi diventerà l’interessato al trattamento: c’è quindi un rapporto diretto con l’interessato al trattamento;
• Nell‘informativa privacy vengono inseriti i suoi dati;
• Prende qualsiasi decisione che riguarda il trattamento. Ad esempio è l’unico che può decidere se notificare al garante il databreach;
• Ha completa autonomia decisionale sulla modalità di trattamento dei dati.

Chi è e cosa fa il Responsabile esterno del trattamento GDPR?

Il Responsabile del trattamento GDPR è il soggetto nominato dal Titolare che:

• Segue le istruzioni che gli vengono date per trattare i dati;
• I dati da trattare provengono da un terzo;
• Non decide in autonomia di trattare dati personali;
• Non ha il potere decisionale su quali dati personali raccogliere;
• Non ha la responsabilità di sapere su quale base giuridica i dati vengono raccolti;
• Non decide se divulgare i dati, oppure a chi divulgarli;
• Non determina per quanto tempo i dati possono essere trattati;
• Ha un limitato potere decisionale sulle modalità di trattamento dei dati, ma per mettere in pratica le sue decisioni ha bisogno dell’autorizzazione;
• Non è interessato all’esito del trattamento dei dati.

Queste, in sintesi, sono le differenze fra il Titolare e il Responsabile del trattamento. 

Gli obblighi del responsabile esterno del trattamento GDPR

Premessa: sia i Titolari del trattamento che i Responsabili del trattamento hanno obblighi nei confronti degli interessati e del Garante Privacy, che scaturiscono direttamente dalla normativa GDPR.

Inoltre, il Titolare del trattamento dati può sempre intervenire a sindacare l’attività del Responsabile, quindi ha un dovere di sorveglianza su tutto l’operato del Responsabile del trattamento.

Detto questo, vediamo insieme quali sono i doveri e le responsabilità proprie del responsabile esterno del trattamento GDPR:

• Processare i dati seguendo le istruzioni del titolare del trattamento;
• Garantire la sicurezza dei dati: attraverso l’utilizzo di misure tecniche e organizzative a norma di GDPR, e idonee a proteggere i diritti dell’interessato;
• Rispettare le stesse norme previste da GDPR per il titolare del trattamento, relative alla raccolta e conservazione dei dati: applicazione dei principi di privacy by design e privacy by default;
• Deve assicurarsi che gli incaricati al trattamento di cui si avvale diano le idonee garanzie di segretezza, e mettano in atto tutte le misure idonee al caso concreto per mantenere i dati al sicuro;
• Ha un dovere di trasparenza: deve avere un suo registro del trattamento, sempre aggiornato, in cui inserisce anche i nomi e i recapiti di eventuali responsabili del trattamento da lui nominati e dell’eventuale DPO;
• Se delega altri responsabili del trattamento deve stipulare un contratto con loro, in cui definisce quali dati saranno trattati, per quanto tempo e le istruzioni che devono seguire;
• Se il responsabile del trattamento ritiene che le istruzioni ricevute dal titolare violino il GDPR o la normativa nazionale, ha la responsabilità di comunicarglielo. Da ciò deriva un obbligo di generale controllo di conformità che il GDPR attribuisce al responsabile del trattamento;
• Ha l’obbligo di notifica al titolare del trattamento in caso di databreach;
• Restistuisce i dati o li cancella una volta raggiunta la finalità del trattamento; 
• Nel caso in cui il responsabile designato sia fuori dai Paesi membri UE, deve nominare un suo rappresentante interno all’UE.

Titolare e Responsabile: doveri comuni e responsabilità condivise

Il regolamento GDPR è chiaro nello stabilire che esistono dei punti di sovrapposizione tra le due figure, anche per quanto riguarda l’aspetto degli obblighi. Tra le responsabilità condivise da Titolare e Responsabile, possiamo enucleare le seguenti casistiche:

• In caso di trattamento in violazione del GDPR, il responsabile risponde congiuntamente al titolare. Ma per quanto riguarda il danno causato all’interessato risponde nel limite in cui ha agito senza rispettare le istruzioni del titolare o se ha violato le norme del GDPR. 
• Il responsabile ha il dovere di assistere il titolare del trattamento per quanto riguarda le richieste degli interessati al trattamento.
• Assiste il titolare nella fase di valutazione del rischio, e contribuisce alla valutazione dell’opprtunità di redigere il DPIA.
• Deve rendersi reperibile e supportare il titolare del trattamento per dimostrare la compliance al GDPR.
• Deve cooperare nel caso in cui siano fatti controlli e ispezioni da parte dell’autorità garante della privacy.

Responsabile esterno del trattamento GDPR: esempi

• Il dipartimento HR della tua organizzazione definisce dei metodi per elaborare i dati personali di candidati e dipendenti che devono essere protetti e utilizzati. Alcune di queste attività di elaborazione dei dati delle risorse umane potrebbero essere esternalizzate. La società a cui affidi queste mansioni è un responsabile del trattamento.
• Il team di marketing elabora i dati personali di clienti potenziali ed esistenti. Quando collabora con un’agenzia di email marketing, ad esempio, che utilizza questi dati per le campagne, l’agenzia è responsabile del trattamento. .
• Potresti aver esternalizzato le attività del contact center in entrata per la tua azienda. Il contact center diventa quindi il responsabile del trattamento che acquisisce i dati degli interessati

Gli esempi possono essere molteplici. Quello che accade spesso però è che non c’è un solo responsabile del trattamento, ma ce ne sono diversi, e, in alcuni casi, è lo stesso responsabile del trattamento che incarica del trattamento dati altri soggetti che diventano responsabili di secondo livello. Ad esempio la tua agenzia di marketing (responsabile del trattamento) lavora con dei freelance per compiti specifici, per cui questi partner elaborano anche i dati personali e diventano quindi a loro volta responsabili.

Il responsabile del trattamento può delegare ad altri l’elaborazione dei dati?

ART. 28: La “catena di responsabilità”

Da un lato, la normativa europea amplia al massimo la definizione di “trattamento dati”, per cui di riflesso amplia la definizione di Responsabile del trattamento. Persino il corriere, mentre trasporta i pacchi con su scritto l’indirizzo dell’interessato, è un Responsabile del trattamento. D’altro lato, al giorno d’oggi la circolazione dei dati segue un iter complesso.

Con lo sviluppo del marketing digitale, i dati personali sono diventati il fulcro delle strategie e ogni professionista si è specializzato in un settore del funnel. Quindi, i dati passano di soggetto in soggetto. Più sono i soggetti che elaborano i dati, più i dati sono a rischio.

Questa è la ragione per cui il RGDPR ha puntualizzato quali sono gli obblighi del Responsabile del trattamento e ha previsto anche la situazione di concatenazione delle responsabilità.

L’art. 28, in particolare, prevede che il Responsabile del trattamento può ricorrere ad altri responsabili del trattamento solo previa autorizzazione scritta del titolare. Inoltre ogni cambiamento che riguarda i Responsabili di secondo o terzo grado deve essere notificato al Titolare e da lui approvato. 

La normativa stabilisce che il Responsabile del trattamento che incarichi il soggetto terzo di elaborare i dati dell’interessato deve stipulare un contratto che ricalca quello stipulato fra il Titolare del trattamento e il Responsabile stesso. Quindi medesimi obblighi, istruzioni e responsabilità. Qualora il sub-responsabile non rispetti il contratto, rimane Responsabile a pieno titolo il Responsabile originario del trattamento dati. Ne risulta che, indipendentemente dal fatto che i dati siano trattati da lui o da qualcun altro, i suoi obblighi rimangono intatti. 

Conclusioni sul responsabile del trattamento dati

Difficilmente i Titolari del trattamento si avvalgono dell’uso di contratti come richiesto dal GDPR, salvo casi di aziende Titolari del trattamento particolarmente organizzate e compliance. Eppure, ogni giorno ci si avvale della collaborazione di soggetti esterni: per l’elaborazione delle buste paga, per l’utilizzo di servizi di recruiting, per sviluppare una strategia di marketing digitale.

Si è, quindi, sviluppata la prassi per cui sono i Responsabili del trattamento a inserire la propria nomina a Responsabile nel contratto con cui si impegnano ad erogare un servizio. Tuttavia, anche qui sono molti i professionisti che non sono consapevoli del fatto che stanno agendo come Responsabili del trattamento e sono passibili di multa.

In circolazione, ci sono molti meno contratti di nomina a responsabile di quelli che dovrebbero esserci. Ce ne accorgiamo ogni giorno con la nostra attività in studio. Spesso abbiamo infatti a che vedere con consulenti di marketing che hanno il ruolo di responsabili del trattamento. E di default inseriamo la nomina di responsabile nel contratto che devono stipulare con il cliente che richiede il loro servizio.

Strumenti che ormai dovrebbero essere di uso quotidiano sono a tutt’oggi una rarità. È ancora necessario fare un’attività di educazione al regolamento GDPR.

Per assicurarti di stipulare correttamente contratti con tutte le dovute accortezze e nominare le figure giuste a tutela della privacy, affidati all’esperienza di Legal For Digital.

Sapremo come effettuare tutti i controlli del caso e come facilitare la tua attività senza appesantirti.

Brunella Martino

Avvocato specializzato in privacy e proprietà intellettuale con 15 anni di esperienza, DPO, arbitro in materia societaria, autrice Flaccovio Editore, formatrice aziendale, socia FederPrivacy, segretario dell'Aiga sezione Lucca e componente Aiga nazionale Dipartimento Diritto delle nuove tecnologie

Altri articoli in gdpr che potrebbero interessarti

Visualizza tutti gli articoli

⚖️ Diritto all’oblio GDPR, cos’è e come si esercita

31 Maggio 2021

Il diritto all’oblio nacque negli anni Settanta del secolo scorso, in un’epoca in cui Internet non era nemmeno un pensiero, ed è stato necessario aggiornare la legislazione attraverso il GDPR per contestualizzarlo in un’epoca in cui il web è la fonte principale di informazione.

In questo articolo vediamo che cos’è il diritto all’oblio, cosa è cambiato con l’avvento del GDPR e cosa prevede l’articolo n°17.

Leggi altro

⚖️ Cookie di profilazione: identificazione e conformità al GDPR

22 Marzo 2022

Sicuramente sai che la presenza di soli cookie tecnici e analitici, o la presenza anche di cookie di profilazione è determinante per l’adeguamento del sito web al GDPR.
Come si fa a riconoscere i cookie tecnici, analitici e i cookie di profilazione?

Leggi altro

⚖️ La profilazione dei dati: tra strategia di marketing e GDPR

17 Marzo 2023

Nell’articolo di oggi parliamo di privacy e GDPR da un punto di vista molto interessante che viene spesso sottovalutato: la profilazione dell’utente nelle strategie di marketing.

Leggi altro