Il GDPR introduce nuove figure nel trattamento dei dati personali: Titolare, Responsabile e Sub-Responsabile. Quest’ultimo, nominato dal Responsabile con l’autorizzazione del Titolare, deve rispettare gli stessi obblighi del contratto principale. Il regolamento enfatizza l’accountability, richiedendo alle aziende di implementare modelli di gestione dati che bilancino business e protezione. La gestione dei fornitori necessita processi standardizzati e contratti conformi, cruciali per la sicurezza delle informazioni. L’adozione di norme internazionali come ISO/IEC 27001 e 27036 può fornire un framework utile, offrendo vantaggi in termini di conformità e certificazione nel complesso panorama della protezione dei dati personali.
Il Legislatore Europeo, tramite l’adozione del Regolamento Generale per la protezione dei dati 2016/679, meglio noto con l’acronimo “GDPR”, si è posto l’obiettivo di armonizzare la normativa concernente la tutela dei dati personali e la libera circolazione dei medesimi, indipendentemente dal fatto che questi siano sul territorio dell’Unione, purché gli interessati si trovino all’interno dell’Unione, in considerazione dell’avvento di nuove tecnologie e della sempre maggior facilità nelle comunicazioni e nello scambio di informazioni.
Con il GDPR la disciplina della protezione dei dati è stata oggetto di una riformulazione sostanziale caratterizzata da un mutamento di approccio, ad oggi dominato dal principio dell’accountability, e richiedente, come necessità imprescindibile, che le aziende si dotino di modelli di gestione dei dati personali in grado di coniugare le esigenze di business con le garanzie richieste dalla disciplina in tema di data protection, onde evitare rischi di trattamento illecito di dati.
La normativa sovranazionale in parola, plasmata con la veste di Regolamento e, conseguentemente, immediatamente applicativa da parte di ciascuno Stato membro dell’Unione, senza necessità di un ulteriore intervento attuativo nazionale, ha rivelato una crescente attenzione a livello europeo per il diffondersi di un mercato di servizi sempre più esternalizzato e realizzato tramite il coinvolgimento di differenti player che possono risultare implicati nella realizzazione del trattamento e quindi del servizio oggetto del contratto.
Un’organizzazione del “processo produttivo” sempre più segmentata, dunque, con conseguente potenziale declinazione del rapporto contrattuale in una pluralità di livelli.
In particolare, il GDPR, all’art. 4, identifica le figure del Titolare e del Responsabile del trattamento definendole come di seguito:
Dal testo della fonte di diritto in oggetto, inoltre, emerge, indirettamente, l’esistenza potenziale anche di un terzo soggetto che può essere coinvolto nella realizzazione del trattamento, il c.d. sub-Responsabile[1].
La normativa de quo, infatti, non ha solamente previsto la possibilità per il Titolare di affidare la realizzazione di un particolare trattamento al Responsabile del Trattamento quale soggetto separato ed autonomo rispetto al proprio complesso aziendale, ma anche la facoltà per il Responsabile, di nominare a sua volta “un altro responsabile”, ed ecco, quindi, l’inedita figura del c.d. Sub-Responsabile e lo strutturarsi del rapporto contrattuale su un ulteriore livello.
A ben vedere il Regolamento non si riferisce espressamente alla figura del Sub-Responsabile, ma la medesima si ricava implicitamente da quanto disposto all’art. 28, comma 4, secondo cui:
“[…]Quando il responsabile del trattamento ricorre ad un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento […]”.
Partendo dal dato normativo si evince che tale “altro responsabile” debba essere legato al Responsabile del trattamento da un ulteriore contratto o atto giuridico che si innesta e, inevitabilmente, si lega al rapporto contrattuale esistente tra Responsabile del trattamento e Titolare del trattamento e questo in quanto, tale “contratto di secondo livello” se così vogliamo definirlo a titolo esemplificativo, dovrà riprodurre il contenuto essenziale del “contratto principale”, poiché l’attività del Sub-Responsabile risulta strumentale alla realizzazione del trattamento oggetto del medesimo.
L’esistenza di questa concatenazione tra i diversi soggetti coinvolti nelle attività di trattamento connesse al ciclo produttivo, e quindi anche tra Titolare e Sub-fornitore, emerge dal fatto stesso che quest’ultimo sia tenuto a rispettare gli stessi obblighi in materia di protezione dei dati che sono previsti nel contratto/atto giuridico concluso tra il Titolare e il Responsabile del trattamento. Ciò implica necessariamente che il Sub-Responsabile sia limitato nell’espletamento della sua attività dovendo seguire pedissequamente il perimetro di finalità determinate dal Titolare. In questa stratificazione di diversi contratti e atti giuridici si sostanzia la segmentazione del più ampio rapporto contrattuale fra Titolare e Responsabile del trattamento.
Il Sub-Responsabile, quindi, è una figura che da un lato risulta legittimata dalla “investitura” formale operata dal Responsabile ma che, dall’altro, è tenuta ad agire nel rispetto delle direttive impartite dal Titolare nei cui confronti si trova in rapporto di subordinazione.
Il Titolare, dal canto suo, nella valutazione dei rischi determinati dall’affidamento/esternalizzazione, verso il Responsabile, dell’attività di trattamento dovrà tener conto non solo delle modalità di esecuzione e delle misure che questi si impegna ad adottare nell’espletamento di quella porzione di attività a lui facente capo, ma anche che il contenuto dei contratti o degli atti giuridici stipulati tra Responsabile e l’eventuale Sub-Responsabile rispondano ai dettami previsti dalla normativa sovranazionale ed, in particolare, dispongano misure tecniche ed organizzative adeguate alla realizzazione degli impegni assunti.
Tant’è che il Regolamento riconosce in capo al Titolare il potere di autorizzare, oppure negare, il ricorso ad un altro responsabile.
Sul punto, l’art. 28 comma 2 appare chiaro “[…]Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento[…]”
Ciò significa che il Responsabile, qualora lo ritenesse necessario per l’espletamento del trattamento oggetto del contratto principale, non potrà, di sua sponte, ricorrere ad altro responsabile senza previo nulla osta del Titolare a meno che quest’ultimo non abbia rilasciato una procura di carattere generale, nel qual caso avrà, eventualmente, facoltà di opporsi alla designazione effettuata autonomamente dal Responsabile.
Allo stesso tempo il Regolamento determina un ulteriore rapporto gerarchico, quello tra Il Responsabile e il Sub-Responsabile, in cui il primo si trova in posizione di sovra ordinazione rispetto al secondo. Tale assunto è ricavabile indirettamente dalla responsabilità imposta al Responsabile dall’art. 28 comma 4 secondo cui “[…]Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile”.
Il suddetto assetto determina una sorta di culpa in eligendo e di culpa in vigilando in capo al Responsabile, salvo che quest’ultimo non dimostri che l’inadempimento non sia in alcun modo a lui imputabile.
Una responsabilità siffatta giustifica, di per sé stessa, la possibilità per il Responsabile di impartire delle direttive al Sub-Responsabile, purché non esorbitanti rispetto all’alveo delle finalità del trattamento determinate dal Titolare, che permettano di garantire la conformità del Sub-Responsabile e della sua organizzazione alla normativa de quo.
È evidente, a questo punto, l’articolarsi del rapporto contrattuale in una pluralità di segmenti e la conseguente difficoltà nella determinazione del contenuto contrattuale in relazione ai diversi livelli del rapporto.
È chiaro che maggiori saranno i “passaggi di mano”, che andranno a caratterizzare la stratificazione del rapporto e la conseguente concatenazione contrattuale, più ampio e articolato sarà il rischio di violazioni della normativa con evidenti ripercussioni sui diritti e le libertà degli interessati.
Vi è da dire poi che, nonostante i contratti in essere tra i vari soggetti debbano sostanziarsi, in linea generale, nei medesimi obblighi in materia di protezione dei dati, non appare semplice ricorrere all’utilizzo di contratti predefiniti date le numerose possibili modalità di esecuzione dei servizi.
Sarebbe, tuttavia, auspicabile una standardizzazione delle clausole contrattuali, tramite una declinazione delle medesime che consenta una validità nel loro contenuto sia per i Responsabili sia per i Sub-Responsabili, di modo da garantire una sorta di preventivo controllo da parte del Titolare su quello che potrà essere il contenuto dell’ipotetico futuro contratto con un Sub-Responsabile, essendo nella sostanza riproduttivo del contratto concluso con il Responsabile, e di modo che risultino conformi ai principi di:
Una siffatta stratificazione dei rapporti contrattuali impone l’adozione di modelli contrattuali omogeni e coerenti con i più alti standard internazionali in ambito di Cybersecurity, con particolare riferimento ai rapporti con i fornitori. Questo tema è indirizzato da ISO/IEC JTC1/ SC27 “Information security, cybersecurity and privacy protection”, sia all’interno della nota ISO/IEC 27001, per il tramite dei controlli di sicurezza descritti nella ISO/IEC 27002, in particolare nella clausola A.15, sia all’interno della ISO/IEC 27036.
Queste due norme internazionali, in particolare, stanno vivendo una fase di rinnovamento che vede la prima, in particolare, in prossima pubblicazione entro il Q1/2022 mentre la seconda dovrà attendere più ampi per terminare il suo iter di revisione. Ciò nonostante, è già possibile rintracciare dei collegamenti fra le attuali versioni delle citate norme e strutturare di conseguenza i processi aziendali che portano alla selezione e gestione dei fornitori, compresi quindi anche i Sub-responsabili, con evidenti vantaggi anche in ambiti ulteriori rispetto la Data Protection.
In linea generale è possibile affermare che la gestione dei rapporti con i fornitori è strutturata secondo un macro-processo, che tipicamente si svolge sotto il coordinamento dell’ufficio acquisti di un’organizzazione, ma con il coinvolgimento di verse funzioni aziendali, articolato nelle seguenti macro-fasi:
La sicurezza delle informazioni in un rapporto contrattuale con un Sub-Responsabile, o più in generale con un fornitore esterno all’organizzazione, dovrebbe essere organizzato secondo cinque sotto-processi successivi, ognuno dei quali è descrivibile in termini di obiettivi, inputs, attività, outputs:
In conclusione, è certo che, la potenziale segmentazione contrattuale, eventualmente emergente fra Titolare e Sub-responsabili, impone, come obiettivo essenziale ed ineludibile, a tutte le organizzazioni che svolgono servizi in outsourcing, sia nella veste di Titolari sia nella veste di Responsabili, da un lato di delineare una struttura aziendale, processi operativi e misure tecniche e organizzative conformi e adeguate ai dettami del GDPR.
Dall’altro, invece, di delineare disposizioni contrattuali il più possibile standardizzate nel rispetto della normativa pertinente in ambito Protezione del persone fisiche con riguardo ai loro dati personali e, nel loro contenuto, valevoli anche per eventuali ulteriori soggetti, quali i Sub-Responsabili, coinvolti nella catena del trattamento, riducendo di conseguenza l’attività di controllo del Titolare sul contenuto di tali contratti e sulla loro attuazione in concreto nonché i rischi di trattamenti illeciti.
Nel perseguire questo approccio, come spesso accade, l’adozione volontaria di norme internazionali come quelle citate, permette di seguire processi standardizzati con notevoli ed evidenti vantaggi, anche in termini di certificazione dei processi aziendali: elemento questo sempre distintivo rispetto il mercato.
[1] Tale costruzione giuridica era già stata oggetto di un parere n .5/2012 punto 4 fornito dal Gruppo di Lavoro per la tutela dei dati privacy istituito ex art. 29 della Direttiva 95/46 CE in relazione al tema del “cloud computing” ed alle garanzie relative ai subcontraenti.
In particolare, nel parere si legge “la diffusione su vasta scala dei servizi di cloud computing comporta una serie di rischi per la protezione dei dati, in particolare una mancanza di controllo sui dati personali, nonché informazioni insufficienti in merito alle modalità, al luogo e all’esecutore del trattamento/sub-trattamento dei dati…qualsiasi contratto tra fornitore e cliente di servizi cloud dovrebbe prevedere delle clausole relative ai subcontraenti.
Il contratto dovrebbe specificare che i sub incaricati possono essere autorizzati solo sulla base di un consenso che di norma può essere concesso dal responsabile del trattamento a fronte di un chiaro obbligo dell’incaricato del trattamento di informarlo in merito a eventuali cambiamenti previsti in proposito, mentre il responsabile del trattamento si riserva la possibilità, in qualsiasi momento, di opporsi a tali cambiamenti o di risolvere il contratto.
Il contratto dovrebbe chiarire l’obbligo del fornitore cloud di indicare tutti i subcontraenti autorizzati. Inoltre, il fornitore cloud è tenuto a stipulare un contratto con ciascun subcontraente che rispecchi le clausole del contratto stipulato con il cliente cloud; il cliente dovrebbe garantire di essere in grado di avvalersi di possibilità di ricorso in caso di violazioni dei contratti da parte dei subcontraenti del fornitore”.
Ulteriori approfondimenti:
Articolo a cura di Irene Martinelli e Luciano Quartarone
I Big Data stanno cambiando le regole del commercio online. Finalmente le aziende possono comprendere…
Dal punto di vista tecnico-operativo, le indagini di digital forensics vengono svolte utilizzando specifici strumenti…
Nell’ambito dell’email security esistono diversi protocolli volti a garantire l'autenticità, l'integrità e la riservatezza delle…
Nel panorama della sicurezza informatica, la minaccia di attacchi fisici tramite dispositivi USB malevoli è…
Come per tutti i problemi complessi con cause molteplici, non esiste una soluzione per il…
In un mondo sempre più connesso e digitalizzato, le innovazioni tecnologiche stanno cambiando radicalmente il…