Nuove figure in ambito privacy previste dal GDPR: i sub-responsabili del trattamento
Il GDPR prevede una nuova figura, eventuale, nell’ambito del trattamento di dati personali, si tratta dei sub-responsabili del trattamento, soggetti che possono essere nominati responsabili del trattamento da parte di responsabili. In realtà, non esiste un articolo specificamente dedicato a tali soggetti nel GDPR, tuttavia, il Regolamento ne fa menzione all’art. 28, dedicato ai responsabili del trattamento, dove, al secondo comma, viene stabilito che:
2. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l'opportunità di opporsi a tali modifiche.
Questa disposizione cancella i dubbi esistenti in relazione alla possibilità da parte di un responsabile del trattamento di nominarne a sua volta un altro, intervenendo così a chiarire situazioni sinora difficili da gestire: si pensi ai contratti di appalto e subappalto, dove un subappaltatore si trova spesse volte a dover trattare dati personali per conto dell’appaltatore che a sua volta li tratta per conto del committente, contratti di servizi destinati ad aumentare anche nel settore digitale (esempi si trovano nel cloud computing e negli altri servizi IT).
Il nostro Codice Privacy non prevedeva la possibilità per un responsabile del trattamento di nominarne a sua volta un altro, tuttavia, il Garante privacy, rispondendo con un proprio provvedimento [doc. web n. 2276103 del 2012] riferito ad un trattamento di dati sensibili tra committente, appaltatore e subappaltatore in merito alla fornitura di servizi di monitoraggio di dati sanitari tramite Rfid, era intervenuto a suo tempo su tale problematica e aveva trovato all’epoca una soluzione che si avvicinava a quella oggi normata dal GDPR, obbligando l’appaltatore (responsabile del trattamento), che intendeva avvalersi di un terzo per l’esecuzione di alcune delle attività effettuate per conto del committente (titolare del trattamento), a sottoporre tale circostanza al previo accordo di quest’ultimo e successivamente a stipulare con i suoi “subappaltatori” un ulteriore accordo scritto che imponeva a questi ultimi il rispetto degli stessi obblighi cui l’appaltatore era vincolato in virtù della nomina a “responsabile del trattamento”; l’appaltatore doveva infine inviare al committente copia dei contratti conclusi con i propri subappaltatori, impegnandosi, a sua volta, a tenere un elenco aggiornato di tali contratti.
Cosa prevede l'art. 28 del GDPR
L’art. 28 del GDPR ai commi 2 e 4 espressamente prevede oggi la figura del sub-responsabile, ovvero del ricorso ad un altro/i responsabile/i da parte del responsabile nominato dal titolare, al fine di svolgere specifiche attività di trattamento. Il sub-responsabile, secondo quanto disposto dal GDPR, è tenuto a rispettare i medesimi obblighi contrattuali che legano il titolare al primo responsabile, prevedendo in particolare garanzie sufficienti e la messa in atto di misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento.
A rispondere davanti al titolare di eventuali inadempienze del sub-responsabile è il primo responsabile che ha un rapporto diretto con il titolare, la responsabilità grava in capo al primo responsabile anche ai fini del risarcimento di eventuali danni causati dal trattamento, a meno che il sub- responsabile dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (si veda art. 82, paragrafo 1 e paragrafo 3).
Il responsabile è in ogni caso tenuto ad informare previamente il titolare del fatto che intende avvalersi di un altro soggetto nell’ambito del trattamento per cui è stato designato.
Nel caso in cui, quindi, nell’ambito dei propri servizi, dovesse emergere la necessità di nominare un subappaltatore che debba intervenire anche sul trattamento di dati personali, grazie al GDPR, appaltatori e committenti sanno oggi come muoversi.