Il ruolo del responsabile del trattamento nella gestione della sicurezza dei dati: aspetti contrattuali e pratici
Il contesto normativo
La gestione della digital transformation richiede un approccio differente rispetto al passato, le analisi e le valutazioni dei processi aziendali devono basarsi sulle conoscenze tecniche delle attività che si vogliono eseguire e soprattutto della normativa che disciplina tali attività.
La digitalizzazione dei processi aziendali può essere avviata solo se i soggetti coinvolti gestiscano le risorse informatiche in modo consapevole e responsabile.
In questi ultimi anni il legislatore, sia italiano e sia Europeo, ha seguito con molto interesse l’evoluzione tecnologica. Dal 2016 ad oggi sono entrate in vigore numerose norme che hanno e stanno condizionando l’andamento del mercato e le scelte delle aziende. In particolare, il Regolamento eIDAS, la Direttiva NIS, il GDPR ed il Regolamento IA hanno di fatto disciplinato gli aspetti cruciali del processo di digitalizzazione delle principali attività di business, come ad esempio: l’identità digitale; la conservazione dei documenti informatici; la sottoscrizione dei contratti con una delle firme elettroniche, l’utilizzo della Pec e dei sistemi di recapito.
In questo contesto, sempre più aziende esternalizzano i propri processi lavorativi, affidando a terzi la loro gestione come, ad esempio, nel caso dell’emissione e conservazione della fattura elettronica, dell’utilizzo di software CRM in cloud e della gestione on line dei processi di vendita.
L’esternalizzazione dei processi aziendali comporta inevitabilmente sia il trasferimento di dati personali all’esterno della propria organizzazione e sia l’incarico a soggetti terzi di gestirli per nostro conto.
Esternalizzare il trattamento dei dati, di cosa dobbiamo preoccuparci?
Il GDPR definisce il responsabile del trattamento come quel soggetto che tratta i dati personali per conto del titolare del trattamento. Ciò significa che se un fornitore, tramite i propri servizi, tratta i dati personali del proprio cliente nell’interesse di quest’ultimo e per le finalità e secondo le istruzioni fornite dallo stesso cliente, allora ricopre il ruolo di Responsabile del trattamento[1].
In questo ambito la norma impone al titolare del trattamento di verificare se il soggetto a cui vuole affidare il trattamento dei propri dati personali presenti “…garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.”
L’articolo 28 del GDPR stabilisce un metodo rigoroso per scegliere i fornitori di servizi che, quindi, dovranno essere valutati sia dal punto di vista commerciale e sia per la loro capacità di garantire l’attuazione di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla normativa.
La verifica della capacità e conoscenze del fornitore rappresenta il punto di partenza per rendere compliance i trattamenti dei dati affidati a soggetti terzi.
E’ importante, quindi, predisporre degli strumenti, come ad esempio questionari o check-list, che permettano di intervistare il fornitore e raccogliere tutte quelle informazioni necessarie a valutare: le conoscenze specialistiche (ad esempio, le competenze tecniche in materia di misure di sicurezza e procedure per gestire le violazione dei dati), l’affidabilità (il possesso di certificazioni ISO, quali ad esempio la ISO/IEC 27001),e le risorse utilizzate per trattare i dati personali (ad esempio, il coinvolgimento di sub-fornitori).
Nell’ambito di questo processo valutativo anche la reputazione del fornitore sul mercato può essere un fattore pertinente che il titolare del trattamento deve tenere conto.
Devo formalizzare l’accordo con il fornitore?
Sottoscrivere un “Data processing Agreement” è l’altra condizione per rendere l’esternalizzazione del trattamento dei dati personali conforme al GDPR.
Il Titolare del trattamento, concluso il processo preliminare di valutazione, deve stipulare con il fornitore, che svolge il ruolo di responsabile del trattamento, in forma scritta anche in formato elettronico, un contratto o qualsiasi altro atto giuridico.
Il contratto dovrà avere ad oggetto il trattamento dei dati esternalizzati e deve prevedere l’obbligo per il fornitore stesso di rispettare i modi, i tempi e le istruzioni impartite dal titolare del trattamento su come trattare e proteggere i dati personali.
L’importanza di un DPA trova il suo fondamento nella necessità di stabilire in modo chiaro e puntuale i termini e le condizioni di trattamento dei dati personali, nonché i ruoli ed i compiti delle parti coinvolte. Questo accordo serve non solo a definire gli aspetti pratici del trattamento dei dati, ma anche a delineare le responsabilità legali e le procedure in caso di incidenti che coinvolgano i dati personali.
Il contratto stipulato con il responsabile del trattamento rappresenta, nell’ambito del GDPR, uno dei pochi casi in cui la presenza di un valido documento coincida con l’adempimento di un obbligo normativo.
Infatti, laddove, sussista un rapporto tra il titolare ed il responsabile del trattamento, in assenza di un accordo, l’Autorità di Controllo competente (Garante della privacy) potrà infliggere una sanzione amministrativa pecuniaria sia al Titolare sia al Responsabile del trattamento per violazione dell’Articolo 28, paragrafo 3.
Il Garante della privacy, in diversi provvedimenti sanzionatori, ha evidenziato e ribadito come “sia il Titolare sia il Responsabile del trattamento hanno la responsabilità di garantire l’esistenza di un contratto o di un altro atto giuridico che disciplini il trattamento”.[2]
Quali sono gli elementi chiave del Data Processing Agreement?
Il contenuto del DPA è delineato in modo puntuale nel terzo comma dell’articolo 28 del GDPR, che stabilisce i principali aspetti che l’accordo deve disciplinare.
Predisporre un contratto limitandosi a riportare in modo pedissequo quanto specificato dalla norma, vuol dire sottovalutare, o ignorare aspetti concreti che caratterizzano il trattamento dei dati (istruzioni su come trattare i dati o le garanzie di sicurezza) ed esporsi alle sanzioni amministrative e danni alla reputazione.
I provvedimenti sanzionatori adottati dal Garante della Privacy, anche recentemente, dimostrano che ancora oggi, dopo diversi anni dall’entrata in vigore del GDPR, si tende a considerare il DPA come un mero adempimento formale sottovalutando e non rispettando le indicazioni elencate nell’articolo 28 del GDPR.
L’accordo è una componente strategica per la conformità al GDPR, pertanto, è necessario che sia predisposto valutando ed analizzando attentamente e in modo concreto e non formale i rischi specifici legati al trattamento dei dati e le misure di sicurezza tecnico ed organizzative da attuare.
Il Garante, in un recente provvedimento[3], ha sanzionato il Titolare ed il Responsabile del trattamento perché il DPA si limitava a “a riportare pedissequamente le previsioni richieste dall’art. 28, par. 3, del Regolamento”.
Il DPA, quindi, deve essere predisposta in modo da rappresentare in modo chiaro:
1 – Contesto del trattamento:
Il contesto in cui i dati personali verranno trattati è di fondamentale importanza. Ogni DPA deve contenere una chiara definizione: dello scopo del trattamento, della tipologia dei dati trattati e delle categorie di interessati cui si riferiscono i dati. In questo modo viene delineato il perimetro entro il quale il Responsabile effettuerà il trattamento, assicurando così, che tutte le relative attività siano pertinenti e limitate allo scopo concordato.
Pertanto, limitarsi ad un semplice e formale collegamento tra il DPA ed il contratto di servizi potrebbe non essere sufficiente per definire tutti gli aspetti attinenti il trattamento dei dati.
2 – Obblighi di assistere il titolare:
L’accordo deve dettagliare l’obbligo del Responsabile del trattamento di assistere il titolare nel garantire la conformità con i vari requisiti del GDPR. In particolare, il responsabile deve assistere il titolare del trattamento:
- nella gestione, ove possibile, delle risposte alle richieste degli interessati nell’ambito dell’esercizio dei diritti riconosciuti dal GDPR;
- nel garantire il rispetto degli obblighi sulla sicurezza dei dati personali e sulla eventuale notifica di una violazione dei dati personali all’Autorità di Controllo ed agli interessati.
- nella predisposizione della valutazione d’impatto e consultazione preventiva quando sia richiesta dalla norma.
- Fornire tutte le informazioni necessarie per dimostrare il rispetto degli obblighi normativi.
Titolare e Responsabile del trattamento devono, quindi, prevedere procedure per gestire in modo efficace tutti questi aspetti ed in particolare modo per gestire eventuali violazioni dei dati personali senza ingiustificato ritardo.
3 – Obbligo di garantire la sicurezza e la riservatezza:
Un altro aspetto cruciale dell’esternalizzazione del trattamento dei dati personali riguarda l’adozione delle misure di sicurezza tecnico organizzative.
Ricordo che il GDPR attribuisce al titolare del trattamento la responsabilità, per qualsiasi trattamento di dati personali effettuato direttamente, o tramite altri che abbiano eseguito attività per suo conto, di adottare misure tecniche e organizzative adeguate, affinché il trattamento sia conforme alla disciplina in materia di protezione dei dati personali.
In ragione di questo obbligo, l’accordo deve contenere istruzioni pratiche su come trattare i dati, anche sotto il profilo della sicurezza, nonché l’obbligo per il Responsabile di adottare tutte le misure tecniche e organizzative necessarie per garantire un livello di sicurezza adeguato al rischio (Articolo 32 del GDPR)[4].
Il Titolare, considerato che in ogni caso rimane responsabile dell’attuazione delle misure tecniche e organizzative, anche dopo la stipula del DPA, deve verificare le garanzie offerte dal Responsabile anche mediante attività di revisione degli accordi e ispezioni presso la sua organizzazione. Pertanto, nell’accordo deve essere previsto il diritto del Titolare di effettuare audit e ispezioni per verificare la conformità del responsabile del trattamento con quanto previsto nel DPA. Questo aspetto è cruciale per fornire trasparenza e garantire che le misure di sicurezza siano adeguate e costantemente aggiornate.
4 – Sub responsabili
Il GDPR introduce la facoltà per il Responsabile di trattare i dati personali del titolare tramite un altro responsabile che, anche se non previsto dalla norma, comunemente prende il nome di Sub-responsabile.
Il DPA deve chiarire le modalità e le condizioni con cui il Responsabile può avvalersi di altri sub-responsabili. In particolare, il Titolare deve decidere se attribuire al fornitore una autorizzazione generale ad avvalersi di sub-responsabili, o subordinare questa decisione a singole e specifiche autorizzazioni rilasciate volta per volta.
La possibilità di creare nell’ambito del trattamento una filiera di soggetti determina di fatto un rapporto gerarchico tra tutti i soggetti coinvolti con la conseguenza che il Titolare impartisce delle istruzioni al Responsabile, il quale impartisce a sua volta istruzioni, nella misura in cui esse non siano incompatibili con quelle ricevute dal Titolare, al sub responsabile.
5- Durata del trattamento
La determinazione della durata del trattamento dei dati o il criterio per determinarla nonché e la gestione delle azioni post-scadenza sono aspetti critici per assicurare una gestione dei dati personale in modo conforme (privacy by design).
Il trattamento dei dati, tranne qualche eccezione espressamente previste dalla norma, deve essere limitato al tempo necessario per realizzare gli scopi per cui sono stati nascosti.
Definire la conclusione del trattamento e la conseguente cancellazione dei dati è anche un modo per attuare una strategia proattiva per mitigare i rischi, rafforzare la fiducia con gli interessati (la durata deve essere inserita nell’informativa privacy), e ottimizzare l’uso delle risorse.
Nel DPA, quindi, è importante definire sia la durata dell’accordo e le azioni da attuare post scadenza (restituzione o cancellazione dei dati) e sia la durata del trattamento durante la validità dell’accordo. Infatti, può succedere che durante la validità dell’accordo, venga raggiunto lo scopo del trattamento (ad esempio scadenza del termine legale di conservazione delle fatture elettroniche) o cessi la base giuridica (ad esempio revoca del consenso) i dati debbano essere cancellati e non trattati. Il titolare del trattamento, nonostante non sia espressamente previsto nell’art. 28, per queste casistiche deve prevedere e fornire al responsabile delle istruzioni sui tempi e le modalità di cancellazione o restituzione dei dati personali.
Conclusione
Nell’ambito di un modello organizzativo privacy definire ruoli e responsabilità di tutti i soggetti coinvolti nel trattamento dei dati personali è essenziale sia per rispettare i diritti degli interessati e sia per evitare danni provocati da sanzioni amministrativi, o danni di immagine.
Esternalizzare i processi aziendali solleva questioni giuridiche e tecniche importanti per la tutela dei dati personali. Valutare le capacità professionali e operative di un fornitore di servizi dev’essere un’attività non solo formale, ma soprattutto concreta.
Il titolare deve accertare in concreto se il fornitore che ricopre il ruolo di Responsabile del trattamento offra quelle garanzie e competenze necessarie per supportarlo nel processo di tutela dei dati personali.
I Provvedimenti del Garante sopra richiamati confermano che l’accordo tra Titolare e Responsabile, in cui vengono specificate pratiche operative efficaci, obblighi e responsabilità, permette di formalizzare e attuare una gestione responsabile della sicurezza dei dati personali garantendo così la conformità alla normativa, ma anche e soprattutto rafforzando la trasparenza e la fiducia con gli interessati.
Note
[1] Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR Versione 2.0 Adottate il 7 luglio 2021
[2] Provvedimento del 22 febbraio 2024 [9990659]
[3] Provvedimento del 22 febbraio 2024 [9990659]
[4] Provvedimento del 17 settembre 2020 [9461168] – Ordinanza di ingiunzione – 11 febbraio 2021 [9562852]
Articolo a cura di Andrea Battistella
Avvocato cassazionista, DPO, Digital Transformation Advisor, titolare dello Studio Legale Battistella (www.battistella.legal).
Nell’arco di quindici anni di attività ha maturato una profonda expertise negli aspetti giuridici connessi ai temi legali del data protection, della digitalizzazione dei processi aziendali, con particolare riferimento alla gestione del ciclo di vita del valore legale del documento informatico ed alla gestione delle attività di e-commerce.
Relatore in workshop ed eventi formativi, nonché autore di articoli e pubblicazioni. sui temi relativi alla firma digitale e data protection.
Presidente dell’associazione culturale Centro Studi Informatica Giuridica (CSIG) di Pescara e socio fondatore dell’Associazione Prodigitale, associazioni che promuovono la diffusione della cultura digitale in campo giuridico ed economico.