Il ruolo del responsabile del trattamento nella gestione della sicurezza dei dati: aspetti contrattuali e pratici

A cura di:Andrea Battistella Ore

Il contesto normativo

La gestione della digital transformation richiede un approccio differente rispetto al passato, le analisi e le valutazioni dei processi aziendali devono basarsi sulle conoscenze tecniche delle attività che si vogliono eseguire e soprattutto della normativa che disciplina tali attività.

La digitalizzazione dei processi aziendali può essere avviata solo se i soggetti coinvolti gestiscano le risorse informatiche in modo consapevole e responsabile.

In questi ultimi anni il legislatore, sia italiano e sia Europeo, ha seguito con molto interesse l’evoluzione tecnologica. Dal 2016 ad oggi sono entrate in vigore numerose norme che hanno e stanno condizionando l’andamento del mercato e le scelte delle aziende. In particolare, il Regolamento eIDAS, la Direttiva NIS, il GDPR ed il Regolamento IA hanno di fatto disciplinato gli aspetti cruciali del processo di digitalizzazione delle principali attività di business, come ad esempio: l’identità digitale; la conservazione dei documenti informatici; la sottoscrizione dei contratti con una delle firme elettroniche, l’utilizzo della Pec e dei sistemi di recapito.

In questo contesto, sempre più aziende esternalizzano i propri processi lavorativi, affidando a terzi la loro gestione come, ad esempio, nel caso dell’emissione e conservazione della fattura elettronica, dell’utilizzo di software CRM in cloud e della gestione on line dei processi di vendita.

L’esternalizzazione dei processi aziendali comporta inevitabilmente sia il trasferimento di dati personali all’esterno della propria organizzazione e sia l’incarico a soggetti terzi di gestirli per nostro conto.

Esternalizzare il trattamento dei dati, di cosa dobbiamo preoccuparci?

Il GDPR definisce il responsabile del trattamento come quel soggetto che tratta i dati personali per conto del titolare del trattamento. Ciò significa che se un fornitore, tramite i propri servizi, tratta i dati personali del proprio cliente nell’interesse di quest’ultimo e per le finalità e secondo le istruzioni fornite dallo stesso cliente, allora ricopre il ruolo di Responsabile del trattamento[1].

In questo ambito la norma impone al titolare del trattamento di verificare se il soggetto a cui vuole affidare il trattamento dei propri dati personali presenti “…garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.”

L’articolo 28 del GDPR stabilisce un metodo rigoroso per scegliere i fornitori di servizi che, quindi, dovranno essere valutati sia dal punto di vista commerciale e sia per la loro capacità di garantire l’attuazione di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla normativa.

La verifica della capacità e conoscenze del fornitore rappresenta il punto di partenza per rendere compliance i trattamenti dei dati affidati a soggetti terzi.

E’ importante, quindi, predisporre degli strumenti, come ad esempio questionari o check-list, che permettano di intervistare il fornitore e raccogliere tutte quelle informazioni necessarie a valutare: le conoscenze specialistiche (ad esempio, le competenze tecniche in materia di misure di sicurezza e procedure per gestire le violazione dei dati), l’affidabilità (il possesso di certificazioni ISO, quali ad esempio la ISO/IEC 27001),e le risorse utilizzate per trattare i dati personali (ad esempio, il coinvolgimento di sub-fornitori).

Nell’ambito di questo processo valutativo anche la reputazione del fornitore sul mercato può essere un fattore pertinente che il titolare del trattamento deve tenere conto.

Devo formalizzare l’accordo con il fornitore?

Sottoscrivere un “Data processing Agreement” è l’altra condizione per rendere l’esternalizzazione del trattamento dei dati personali conforme al GDPR.

Il Titolare del trattamento, concluso il processo preliminare di valutazione, deve stipulare con il fornitore, che svolge il ruolo di responsabile del trattamento, in forma scritta anche in formato elettronico, un contratto o qualsiasi altro atto giuridico.

Il contratto dovrà avere ad oggetto il trattamento dei dati esternalizzati e deve prevedere l’obbligo per il fornitore stesso di rispettare i modi, i tempi e le istruzioni impartite dal titolare del trattamento su come trattare e proteggere i dati personali.

L’importanza di un DPA trova il suo fondamento nella necessità di stabilire in modo chiaro e puntuale i termini e le condizioni di trattamento dei dati personali, nonché i ruoli ed i compiti delle parti coinvolte. Questo accordo serve non solo a definire gli aspetti pratici del trattamento dei dati, ma anche a delineare le responsabilità legali e le procedure in caso di incidenti che coinvolgano i dati personali.

Il contratto stipulato con il responsabile del trattamento rappresenta, nell’ambito del GDPR, uno dei pochi casi in cui la presenza di un valido documento coincida con l’adempimento di un obbligo normativo.

Infatti, laddove, sussista un rapporto tra il titolare ed il responsabile del trattamento, in assenza di un accordo, l’Autorità di Controllo competente (Garante della privacy) potrà infliggere una sanzione amministrativa pecuniaria sia al Titolare sia al Responsabile del trattamento per violazione dell’Articolo 28, paragrafo 3.

Il Garante della privacy, in diversi provvedimenti sanzionatori, ha evidenziato e ribadito come “sia il Titolare sia il Responsabile del trattamento hanno la responsabilità di garantire l’esistenza di un contratto o di un altro atto giuridico che disciplini il trattamento”.[2]

Quali sono gli elementi chiave del Data Processing Agreement?

Il contenuto del DPA è delineato in modo puntuale nel terzo comma dell’articolo 28 del GDPR, che stabilisce i principali aspetti che l’accordo deve disciplinare.

Predisporre un contratto limitandosi a riportare in modo pedissequo quanto specificato dalla norma, vuol dire sottovalutare, o ignorare aspetti concreti che caratterizzano il trattamento dei dati (istruzioni su come trattare i dati o le garanzie di sicurezza) ed esporsi alle sanzioni amministrative e danni alla reputazione.

I provvedimenti sanzionatori adottati dal Garante della Privacy, anche recentemente, dimostrano che ancora oggi, dopo diversi anni dall’entrata in vigore del GDPR, si tende a considerare il DPA come un mero adempimento formale sottovalutando e non rispettando le indicazioni elencate nell’articolo 28 del GDPR.

L’accordo è una componente strategica per la conformità al GDPR, pertanto, è necessario che sia predisposto valutando ed analizzando attentamente e in modo concreto e non formale i rischi specifici legati al trattamento dei dati e le misure di sicurezza tecnico ed organizzative da attuare.

Il Garante, in un recente provvedimento[3], ha sanzionato il Titolare ed il Responsabile del trattamento perché il DPA si limitava a “a riportare pedissequamente le previsioni richieste dall’art. 28, par. 3, del Regolamento”.

Il DPA, quindi, deve essere predisposta in modo da rappresentare in modo chiaro:

1 – Contesto del trattamento:

Il contesto in cui i dati personali verranno trattati è di fondamentale importanza. Ogni DPA deve contenere una chiara definizione: dello scopo del trattamento, della tipologia dei dati trattati e delle categorie di interessati cui si riferiscono i dati. In questo modo viene delineato il perimetro entro il quale il Responsabile effettuerà il trattamento, assicurando così, che tutte le relative attività siano pertinenti e limitate allo scopo concordato.

Pertanto, limitarsi ad un semplice e formale collegamento tra il DPA ed il contratto di servizi potrebbe non essere sufficiente per definire tutti gli aspetti attinenti il trattamento dei dati.

2 – Obblighi di assistere il titolare:

L’accordo deve dettagliare l’obbligo del Responsabile del trattamento di assistere il titolare nel garantire la conformità con i vari requisiti del GDPR. In particolare, il responsabile deve assistere il titolare del trattamento:

  • nella gestione, ove possibile, delle risposte alle richieste degli interessati nell’ambito dell’esercizio dei diritti riconosciuti dal GDPR;
  • nel garantire il rispetto degli obblighi sulla sicurezza dei dati personali e sulla eventuale notifica di una violazione dei dati personali all’Autorità di Controllo ed agli interessati.
  • nella predisposizione della valutazione d’impatto e consultazione preventiva quando sia richiesta dalla norma.
  • Fornire tutte le informazioni necessarie per dimostrare il rispetto degli obblighi normativi.

Titolare e Responsabile del trattamento devono, quindi, prevedere procedure per gestire in modo efficace tutti questi aspetti ed in particolare modo per gestire eventuali violazioni dei dati personali senza ingiustificato ritardo.

3 – Obbligo di garantire la sicurezza e la riservatezza:

Un altro aspetto cruciale dell’esternalizzazione del trattamento dei dati personali riguarda l’adozione delle misure di sicurezza tecnico organizzative.

Ricordo che il GDPR attribuisce al titolare del trattamento la responsabilità, per qualsiasi trattamento di dati personali effettuato direttamente, o tramite altri che abbiano eseguito attività per suo conto, di adottare misure tecniche e organizzative adeguate, affinché il trattamento sia conforme alla disciplina in materia di protezione dei dati personali.

In ragione di questo obbligo, l’accordo deve contenere istruzioni pratiche su come trattare i dati, anche sotto il profilo della sicurezza, nonché l’obbligo per il Responsabile di adottare tutte le misure tecniche e organizzative necessarie per garantire un livello di sicurezza adeguato al rischio (Articolo 32 del GDPR)[4].

Il Titolare, considerato che in ogni caso rimane responsabile dell’attuazione delle misure tecniche e organizzative, anche dopo la stipula del DPA, deve verificare le garanzie offerte dal Responsabile anche mediante attività di revisione degli accordi e ispezioni presso la sua organizzazione. Pertanto, nell’accordo deve essere previsto il diritto del Titolare di effettuare audit e ispezioni per verificare la conformità del responsabile del trattamento con quanto previsto nel DPA. Questo aspetto è cruciale per fornire trasparenza e garantire che le misure di sicurezza siano adeguate e costantemente aggiornate.

4 – Sub responsabili

Il GDPR introduce la facoltà per il Responsabile di trattare i dati personali del titolare tramite un altro responsabile che, anche se non previsto dalla norma, comunemente prende il nome di Sub-responsabile.

Il DPA deve chiarire le modalità e le condizioni con cui il Responsabile può avvalersi di altri sub-responsabili. In particolare, il Titolare deve decidere se attribuire al fornitore una autorizzazione generale ad avvalersi di sub-responsabili, o subordinare questa decisione a singole e specifiche autorizzazioni rilasciate volta per volta.

La possibilità di creare nell’ambito del trattamento una filiera di soggetti determina di fatto un rapporto gerarchico tra tutti i soggetti coinvolti con la conseguenza che il Titolare impartisce delle istruzioni al Responsabile, il quale impartisce a sua volta istruzioni, nella misura in cui esse non siano incompatibili con quelle ricevute dal Titolare, al sub responsabile.

5- Durata del trattamento

La determinazione della durata del trattamento dei dati o il criterio per determinarla nonché e la gestione delle azioni post-scadenza sono aspetti critici per assicurare una gestione dei dati personale in modo conforme (privacy by design).

Il trattamento dei dati, tranne qualche eccezione espressamente previste dalla norma, deve essere limitato al tempo necessario per realizzare gli scopi per cui sono stati nascosti.

Definire la conclusione del trattamento e la conseguente cancellazione dei dati è anche un modo per attuare una strategia proattiva per mitigare i rischi, rafforzare la fiducia con gli interessati (la durata deve essere inserita nell’informativa privacy), e ottimizzare l’uso delle risorse.

Nel DPA, quindi, è importante definire sia la durata dell’accordo e le azioni da attuare post scadenza (restituzione o cancellazione dei dati) e sia la durata del trattamento durante la validità dell’accordo. Infatti, può succedere che durante la validità dell’accordo, venga raggiunto lo scopo del trattamento (ad esempio scadenza del termine legale di conservazione delle fatture elettroniche) o cessi la base giuridica (ad esempio revoca del consenso) i dati debbano essere cancellati e non trattati. Il titolare del trattamento, nonostante non sia espressamente previsto nell’art. 28, per queste casistiche deve prevedere e fornire al responsabile delle istruzioni sui tempi e le modalità di cancellazione o restituzione dei dati personali.

Conclusione

Nell’ambito di un modello organizzativo privacy definire ruoli e responsabilità di tutti i soggetti coinvolti nel trattamento dei dati personali è essenziale sia per rispettare i diritti degli interessati e sia per evitare danni provocati da sanzioni amministrativi, o danni di immagine.

Esternalizzare i processi aziendali solleva questioni giuridiche e tecniche importanti per la tutela dei dati personali. Valutare le capacità professionali e operative di un fornitore di servizi dev’essere un’attività non solo formale, ma soprattutto concreta.

Il titolare deve accertare in concreto se il fornitore che ricopre il ruolo di Responsabile del trattamento offra quelle garanzie e competenze necessarie per supportarlo nel processo di tutela dei dati personali.

I Provvedimenti del Garante sopra richiamati confermano che l’accordo tra Titolare e Responsabile, in cui vengono specificate pratiche operative efficaci, obblighi e responsabilità, permette di formalizzare e attuare una gestione responsabile della sicurezza dei dati personali garantendo così la conformità alla normativa, ma anche e soprattutto rafforzando la trasparenza e la fiducia con gli interessati.

Note

[1] Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR Versione 2.0 Adottate il 7 luglio 2021

[2] Provvedimento del 22 febbraio 2024 [9990659]

[3] Provvedimento del 22 febbraio 2024 [9990659]

[4] Provvedimento del 17 settembre 2020 [9461168] – Ordinanza di ingiunzione – 11 febbraio 2021 [9562852]

 

Articolo a cura di Andrea Battistella

Profilo Autore
Andrea Battistella

Avvocato cassazionista, DPO, Digital Transformation Advisor, titolare dello Studio Legale Battistella (www.battistella.legal).
Nell’arco di quindici anni di attività ha maturato una profonda expertise negli aspetti giuridici connessi ai temi legali del data protection, della digitalizzazione dei processi aziendali, con particolare riferimento alla gestione del ciclo di vita del valore legale del documento informatico ed alla gestione delle attività di e-commerce.
Relatore in workshop ed eventi formativi, nonché autore di articoli e pubblicazioni. sui temi relativi alla firma digitale e data protection.
Presidente dell’associazione culturale Centro Studi Informatica Giuridica (CSIG) di Pescara e socio fondatore dell’Associazione Prodigitale, associazioni che promuovono la diffusione della cultura digitale in campo giuridico ed economico.

Altri Articoli
Condividi sui Social Network:

Articoli simili

La privacy oltreoceano

La privacy oltreoceano

A cura di:Francesco Maldera Ore Pubblicato il

Il framework statunitense L’Unione Europea è considerata il soggetto che, più di ogni altro a livello internazionale, si è interessato di protezione di dati personali e che, tradizionalmente, ha avviato un percorso di tutela normativa d’avanguardia. Ma siamo proprio sicuri che sia così? L’occasione per rispondere a questa domanda è data dall’avvio in consultazione pubblica,…

Sicurezza col Mainframe? Una scelta strategica

Sicurezza col Mainframe? Una scelta strategica

A cura di:Luigi Perrone Ore Pubblicato il

Siamo nell’era della completa trasformazione, a partire dai cambiamenti climatici alla moneta digitale, senza dimenticare la pandemia che ha indotto un’accelerazione verso il mondo cibernetico, dove non si tocca più nulla di concreto ma sono sufficienti dei click, i riconoscimenti vocali, facciali e comportamentali, vero carburante per la nuova intelligenza artificiale. Nonostante ciò, troviamo ancora…

Quale crittografia per gli scenari digitali del futuro?

Quale crittografia per gli scenari digitali del futuro?

A cura di:Luigi Perrone Ore Pubblicato il

Nel mondo digitale di oggi è oramai diventata consuetudine parlare di protezione dei dati in modo da garantire la riservatezza in qualunque stadio essi si trovino (at-rest, in-fly in-use), anche in caso di una loro esfiltrazione e divulgazione. Ma tutto questo può essere sufficiente per il futuro che ci aspetta? Osservando con attenzione le attuali…

ROP: cercare gadget nelle applicazioni Android

ROP: cercare gadget nelle applicazioni Android

A cura di:Gianluigi Spagnuolo Ore Pubblicato il

In questo articolo ci occuperemo della ricerca di sequenze di istruzioni presenti nella piattaforma Android (su sistemi ARM) al fine di sfruttare delle vulnerabilità nelle applicazioni, con attacchi di tipo ROP, aggirando i principali sistemi di sicurezza. Gadget: cosa sono e a cosa servono Gli attacchi di tipo Return Oriented Programming (ROP, vedi Riquadro 1)…

Data Breach e GDPR: profili operativi e best practices internazionali

Data Breach e GDPR: profili operativi e best practices internazionali

A cura di:Giuseppe Vaciago Ore Pubblicato il

Partiamo da questo presupposto: ogni data breach ha, sempre con maggiore frequenza, rilevanza transazionale. Basti pensare ai casi in cui i target di attacco sono gruppi multinazionali o cloud provider che operano su più Stati Membri dell’Unione Europea. Questi fenomeni hanno reso evidente la particolare complessità della procedura di segnalazione di un data breach in…

Ipotesi per la realizzazione di un modello per l’analisi di efficacia di Sistemi di Sicurezza delle Informazioni

Ipotesi per la realizzazione di un modello per l’analisi di efficacia di Sistemi di Sicurezza delle Informazioni

A cura di:Stefano Gorla Ore Pubblicato il

La sicurezza dei dati e delle informazioni, sia nel campo del trattamento di dati personali, che negli altri campi aziendali è ormai un requisito fondamentale e strategico per le organizzazioni. I dati sono la linfa delle organizzazioni e le aziende, come noi, sono perennemente e costantemente connesse. I dati sono un asset importante e la…