Responsabile del trattamento prima e dopo il GDPR: la nomina va necessariamente riformalizzata?
Sebbene la nozione di responsabile del trattamento resti nel GDPR sostanzialmente la stessa di quella prevista dalla direttiva n. 46/95/CE e del Codice Privacy, in quanto, per il GDPR è responsabile del trattamento la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro ente che elabora i dati personali per conto del titolare del trattamento, come era, responsabile del trattamento per il Codice Privacy, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali, il GDPR impone obblighi di conformità direttamente rivolti ai responsabili del trattamento dei dati che comportano gravi sanzioni a loro carico, qualora non risultino conformi alle norme.
Tuttavia, nella pratica, i requisiti di conformità che il GDPR richiede ai responsabili del trattamento sono in linea di massima molto simili a quelli che si ritrovano nella maggior parte dei contratti per la designazione a responsabili del trattamento già stipulati tra titolari e responsabili, in base al Codice Privacy, sebbene non manchino elementi ulteriori da considerare.
Il responsabile del trattamento in base al Codice Privacy
C’è da dire, ad ogni modo, che, nonostante la definizione appaia la medesima, il responsabile del trattamento inteso dal GDPR, non è propriamente la figura nel concreto indicata dal nostro Codice Privacy, in quanto la ratio originaria delle norme del Codice Privacy specificamente rivolte al responsabile del trattamento era quella di individuare una figura, interna all’organizzazione, prevedendone una designazione su base volontaria (si veda sul punto l’art. 29 comma 1 del D. Lgs. n. 196/2003), che si assumesse la responsabilità in ordine al trattamento dei dati personali: l’intento principale era quello di conferire un incarico relativo al trattamento dei dati personali ad un soggetto, che a differenza del titolare, o meglio della persona fisica che lo rappresentava, potesse prestare maggiore e diretta attenzione al trattamento dei dati personali e quindi alle operazioni da svolgere affinché il titolare del trattamento fosse messo nelle condizioni di rispettare le norme, stante anche il disposto di cui all’art. 15 del Codice Privacy che rimandava ad una responsabilità oggettiva ex art. 2015 c.c., solo, successivamente, nelle prassi operative e in base anche ad un cambio di rotta del Garante, che in principio aveva espresso forti dubbi sulla nomina a responsabile esterno, si è ritenuto vantaggioso far rientrare i soggetti esterni che intervenivano sui dati personali trattati dal titolare nella nozione di responsabili del trattamento, in quanto ciò consentiva di bypassare il necessario consenso espresso alla comunicazione dei dati a terzi che il titolare doveva ottenere dall’interessato; questi soggetti dunque dovevano essere designati mediante opportuni atti scritti, ma tutto restava nel contesto privatistico dei rapporti.
Il responsabile del trattamento in base al GDPR
Oggi, invece, la nomina a responsabile del trattamento è un obbligo previsto dal GDPR che si rivolge a soggetti giuridici in linea di massima terzi rispetto all’organizzazione che li designa e, infatti, l’art. 28 parla proprio in prima battuta di “contratto” o altro atto giuridico previsto dalle norme dell’Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare del trattamento e che “stipuli” la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento […]. Si tratta dunque nella logica del GDPR di soggetti esterni che nella maggior parte dei casi svolgono in favore del titolare servizi e che nell’ambito di questi servizi intervengono anche nel contesto del trattamento sui dati personali trattati dal titolare (si pensi all’hosting provider, al fornitore dei servizi cloud, al fornitore dei servizi di manutenzione dei sistemi IT, al commercialista, al consulente del lavoro, all’agenzia di marketing e simili). Tra l’altro, le norme che si rivolgevano ai responsabili del trattamento (processor) nella direttiva, come del resto nel nostro Codice erano veramente minime; nella maggior parte degli articoli del GDPR invece troviamo un espresso rimando ai responsabili del trattamento: molte delle stesse norme che si rivolgono al titolare, sono riferite anche al responsabile, espressione questa del differente ruolo di tale figura e del notevole peso che essa ha assunto nell’attuale contesto del trattamento dei dati personali. E questo, a dire il vero, rispecchia anche il mercato vigente: ai tempi della direttiva molti dei servizi oggi forniti non esistevano o comunque non erano così diffusi, la figura dell’intermediario, i servizi di outsourcing hanno assunto un’importanza fondamentale (quasi indispensabile per tanti titolari del trattamento), in particolare nel sistema economico digitale; molti di questi soggetti che forniscono servizi a terzi hanno in qualche modo a che fare con il trattamento dei dati gestito da un titolare del trattamento e assumono quindi la veste di responsabili del trattamento; il GDPR imponendo oneri propri a carico del responsabile pertanto rispecchia la realtà della nostra epoca.
Le nomine a responsabile del trattamento già formalizzate vanno controllate
Alla luce di ciò, con tutta probabilità, gli atti di designazione a responsabili del trattamento interni non saranno più validi, per tali soggetti dovrebbero essere formalizzate nuove lettere di incarico per evitare confusioni.
Per quanto concerne invece i vecchi contratti con cui si sono designati soggetti esterni come responsabili del trattamento, per verificare se tali contratti siano validi alla luce delle nuove norme europee, occorrerà quanto meno analizzarli nel dettaglio e valutare se essi contengano tutto quanto richiesto dall’art. 28 del GDPR, tenendo presente che il Codice Privacy lasciava maggiore libertà in relazione al contenuto dell’atto di nomina, rispetto al GDPR che regola espressamente l’attività di trattamento tra titolare e responsabile, imponendo l’inserimento nel contratto di precise obbligazioni contrattuali che definiscano la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento e precisando, nel dettaglio, che nel documento si debba chiarire che il responsabile del trattamento:
- tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
- imponga obblighi di riservatezza a tutto il personale coinvolto nel trattamento dei dati pertinenti;
- garantisca la sicurezza dei dati personali attuando le misure di sicurezza idonee;
- si attenga alle regole relative all’impegno dei sub-responsabili (se è stato autorizzato alla nomina e che i sub-responsabili devono essere nominati alle stesse condizioni previste nel contratto tra il titolare del trattamento e il responsabile del trattamento);
- assista il titolare del trattamento, ove possibile, con misure di attuazione per rispettare i diritti degli interessati;
- collabori con il titolare del trattamento dei dati qualora sia chiamato davanti alle Autorità di controllo;
- su richiesta del titolare del trattamento, restituisca o distrugga i dati personali al termine dell’accordo (salvo quanto diversamente richiesto dalla legge dell’Unione o dello Stato membro);
- fornisca al titolare del trattamento tutte le informazioni necessarie a dimostrare la conformità con il GDPR.
Inoltre, ai sensi del GDPR, anche i responsabili del trattamento dei dati sono tenuti a conservare dei registri delle proprie attività di trattamento, al fine di essere in grado di fornire le informazioni incluse in tali registri alle autorità di controllo, su loro richiesta. Pertanto, sarebbe opportuno che nei contratti di designazione vi sia anche un impegno alla redazione e alla tenuta di tali registri, in relazione al trattamento effettuato per conto del titolare, in capo ai responsabili. Per quanto concerne le misure di sicurezza, l’obbligo al rispetto di queste misure solitamente era già incluso negli accordi di nomina a responsabile del trattamento dei dati; per quanto riguarda invece l’obbligo di notifica di una violazione sui dati personali, il GDPR impone ai responsabili del trattamento la comunicazione delle violazioni dei dati al titolare senza indebito ritardo, anche questo obbligo dovrebbe rispecchiarsi in una clausola contrattuale, sempre che l’atto già formalizzato non vi abbia provveduto.
Per comprendere dunque se i documenti con cui sono già stati designati i responsabili del trattamento siano tuttora validi, occorre analizzarli caso per caso, tenendo presente ad ogni modo che, viste le sanzioni più gravose presenti nel GDPR a carico dei responsabili del trattamento, saranno proprio tali soggetti a richiedere una ridefinizione delle clausole contrattuali attualmente impiegate, per cautelarsi nel caso di eventuali richieste di risarcimento danni.