Formalizzazione del rapporto Titolare/Responsabile nel segno del GDPR

L’importanza di gestire correttamente i punti previsti dal GDPR a livello di compliance

A fronte anche dell’ultima sanzione comminata dal Garante, che vedremo meglio nell’articolo, per la mancata nomina formale dei fornitori in qualità di Responsabili del trattamento, torniamo a ribadire l’importanza di gestire correttamente tutti i punti che il  GDPR prevede a livello di compliance.

Quando all’appello manca la documentazione minima richiesta, risulta difficile giustificare la propria accountability di fronte alle autorità in sede di ispezione. Ed è proprio quello che è successo nella vicenda che ha coinvolto Roma Capitale, Atac e Flowbird Italia… Le tre aziende si sono occupate, a vario titolo, di installare e gestire la nuova rete di parcometri sul territorio del comune di Roma, peccato però che nessuna si fosse presa la briga di formalizzare in fase contrattuale il rapporto che le lega anche dal punto di vista della privacy e del trattamento dei dati personali.

A partire dal Comune di Roma che, in qualità di Titolare del trattamento, avrebbe dovuto guidare il flusso verso i propri Responsabili, non c’è traccia di un qualsiasi documento che possa dimostrare l’adempimento secondo l’art. 28 del Regolamento che recita: “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento […] Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento  tratti i dati personali soltanto su istruzione documentata del titolare del trattamento.”

Le conseguenze a seguito di una scorretta gestione dei dati in violazione al GDPR

Questo ha fatto sì che i vari soggetti trattassero dati personali in autonomia e senza autorizzazione, in violazione di quanto previsto dal GDPR. Ad appesantire la situazione, l’ispezione ha portato alla luce altre lacune documentali e procedurali, quali l’assenza dei registri di trattamento, il mancato conferimento dell’informativa agli interessati, la carenza nelle misure di sicurezza e nella definizione dei tempi di conservazione dei dati.

Il fulcro del discorso è che la filiera sia identificata con precisione e i soggetti che possono trattare i dati personali abbiano definito chiaramente le rispettive attribuzioni, altrimenti il risultato sarà una sanzione a tutti gli attori che ne hanno preso parte, nello specifico: 800.000 euro a Roma Capitale, 400.000 ad Atac Spa e 30.000 a Flowbird Italia.

Ormai, dopo più di tre anni dalla piena applicazione del Regolamento, dovrebbe essere chiaro a tutti, soprattutto agli Enti Pubblici che gestiscono un’enorme mole di dati, che impostare i trattamenti nel modo corretto in fase iniziale è fondamentale per non incappare in sanzioni e dover poi correre ai ripari per metterci una pezza.

I chiarimenti dell’ European Data Protection Board

In aiuto a quelle aziende a cui ancora sfugge il concetto, arrivano le linee guida 07/2020 dell’EDPB adottate il 7 luglio 2021, nelle quali oltre a chiarire che si è Titolari del trattamento anche se non si accede ai dati personali ma si determinano i mezzi essenziali, si definisce la possibilità che sia il fornitore (Responsabile del trattamento) a redigere materialmente l’accordo ex art. 28 GDPR. Infatti, non ha importanza se il testo di accordo è predisposto da una o dall’altra parte; in molti casi i fornitori di servizi stabiliscono servizi e contratti standard da far firmare ai clienti.

Conclusioni

Nell’articolo il focus riguarda la nomina che lega Titolare e Responsabile, ma non vanno persi di vista altri aspetti di compliance quali la formazione del personale, l’applicazione di adeguate misure tecniche di sicurezza o la valutazione, per obbligo o meno, di designare un D.P.O.

A prescindere dal fatto che la vostra sia una piccola realtà piuttosto che un’ Amministrazione Pubblica, i principi cardine del Regolamento Europeo di privacy by design e by default devono essere rispettati per assolvere correttamente agli adempimenti di legge e vanno tenuti a mente tutti i passaggi che implicano trattamenti di dati personali.

Il percorso che porta a migliorarsi sotto l’aspetto privacy non si conclude mai, ma si evolve e si adatta seguendo il continuo mutare del contesto e tende ad aggiungere sempre dei tasselli per essere allineati con quanto definito in provvedimenti, linee guida e pareri del Garante.