
Il Rapporto Tra Titolare E Responsabile Del Trattamento: Come Gestire La Formalizzazione Degli Obblighi Nella Prassi Contrattuale
12 Marzo 2021
A qualche anno dall’entrata in vigore del Regolamento UE 2016/679 (GDPR) possiamo notare una maggior attenzione circa la tematica contrattuale anche con riferimento a ruoli e obblighi dei soggetti della privacy.
Esaminiamo di seguito i riferimenti normativi più rilevanti nel rapporto Titolare e Responsabile del trattamento contenuti nel GDPR e le principali criticità che riscontriamo presso i clienti.
Riferimenti normativi
Art. 28 – Obbligo di contratto tra Titolare e Responsabile
In conformità a quanto previsto dall’art. 28 GDPR, chiunque svolga un trattamento di dati personali per conto del Titolare del trattamento acquisisce il ruolo di Responsabile del trattamento. Il Responsabile deve adottare “misure tecniche e organizzative adeguate a garantire e dimostrare che il trattamento dei dati venga eseguito soddisfando i requisiti del regolamento e garantendo la tutela dei diritti dell’interessato”.
Al comma 3, richiede che le attività svolte dal Responsabile siano regolate da un contratto o un altro atto giuridico in cui vengano definiti: la durata, la natura e le finalità del trattamento, il tipo di dati trattati, le categorie di interessati, le misure di sicurezza adottate, i diritti e gli obblighi delle parti.
Il D.P.A. (Data processing agreement) è liberamente negoziabile e, ricordiamolo, deve essere calato in concreto rispetto al trattamento/servizio oggetto del contratto, a cui la nomina si accompagna.
Detta negoziazione può portare:
- all’inserimento di fee in caso inserimento di obblighi di assistenza e/o collaborazione che esulano da obblighi di informazione come in caso, ad esempio, di avviso di data breach;
- al riconoscimento del diritto di recesso senza penali del Titolare, in caso di mancata approvazione di un nuovo e specifico sub-fornitore;
- alla determinazione delle modalità di esercizio del diritto di audit al Responsabile con la previsione che, in caso di rilevazione di non conformità, eventuali costi di correzione siano a carico di quest’ultimo;
- alla previsione delle modalità e tempistiche inerenti alla restituzione e successiva cancellazione dei dati da parte del Responsabile;
- all’inserimento di clausole di manleva del Responsabile e/o clausole assicurative.
Questo maggior onere di formalizzazione rileva, da un lato, nel dimostrare l’accountability del Titolare – che valuterà l’adeguatezza delle garanzie fornite dal Responsabile/fornitore ex art. 28, co. 1 GDPR – e, dall’altro, permette di dimostrare le ragioni alla base della scelta di un fornitore piuttosto che di un altro. La “rendicontazione” del processo decisionale del Titolare è utile anche in caso di ispezione della G.d.F. poiché permette di dimostrare il rispetto degli obblighi relativi alla diligenza “in eligendo” dei propri Responsabili.
Art. 82 – Responsabilità solidale tra Titolare e Responsabile
L’art. 82 GDPR ha introdotto la responsabilità solidale tra il Titolare e il Responsabile del trattamento rivoluzionando il sistema preesistente. Se in passato, in caso di inadempimento contrattuale o di un obbligo di legge, il Titolare poteva agire in rivalsa nei confronti del Responsabile, ora, anche i Responsabili/Fornitori possono esser chiamati direttamente a rispondere dei danni cagionati agli interessati. Interessati che, quindi, possono scegliere di rivolgersi indifferentemente al Titolare o al Responsabile per ottenere risarcimento.
Oggi, i Fornitori sono notevolmente esposti a responsabilità diretta nei confronti degli Interessati/Utenti e infatti, come già anticipato, negli ultimi anni si è assistito all’inserimento nel D.P.A. di numerose clausole di manleva del Responsabile.
Art. 32 – Gestione condivisa della sicurezza
Gli artt. 28 e 32 GDPR sottolineano la necessità di una gestione condivisa della sicurezza. Ciò a dire che prima ancora della richiesta del Titolare del trattamento sarà il Responsabile che dovrà effettuare una valutazione circa l’adeguatezza delle proprie misure di sicurezza!
Tuttavia, nella prassi, si evidenzia una concreta difficoltà nel comprendere a chi competano la gestione della sicurezza e la valutazione dell’adeguatezza delle misure tecniche e organizzative da porsi a tutela dei dati. La valutazione compete solo al Titolare? A Titolare e Responsabile?
Se un Titolare è ben dimensionato potrà imporre il proprio elenco di misure di sicurezza al Responsabile, ma se fosse il Responsabile a trovarsi in posizione preponderante (ad esempio nel caso delle P.M.I.) o, come nel caso di servizio in cloud, offrisse un servizio standardizzato che impedisce una negoziazione specifica per ogni utente? Come procedere a normare, all’interno del D.P.A., i fornitori di servizi cloud?
Art. 83 – Regime sanzionatorio
Il regime sanzionatorio è stato aumentato rispetto al vecchio codice. Ora, l’aver affidato un trattamento ad un fornitore non nominato responsabile, in violazione dell’art. 28 GDPR, porta ad una sanzione fino a 10 mln di euro o al 2% del fatturato mondiale totale annuo dell’esercizio precedente (cfr. co. 4)
Criticità riscontrate
Le principali criticità che riscontriamo nella gestione del rapporto Titolare/Responsabile sono:
- Assenza di nomina formale
- Determinazione delle misure di sicurezza
- Trasferimento extra Ue
Assenza di nomina formale
La criticità più frequente è rappresentata dal fatto che il Responsabile/Fornitore operi in assenza di una nomina formale. Ciò può, ed esempio, essere conseguenza del tacito rinnovo di accordi risalenti nel tempo.
Attenzione: la formalizzazione ex art. 28 GDPR vige per tutti i contratti siano essi antecedenti o meno all’entrata in vigore del GDPR!!
Determinazione dalle misure di sicurezza
Si riscontra sempre con maggior frequenza una previsione errata del processo di determinazione delle misure di sicurezza che:
- non vengono definite correttamente poiché tendenzialmente ci si limita a un generico riferimento all’art. 32 GDPR;
- risultano eccedenti e/o ricondotte a standard eccessivi;
- non discriminano tra i vari trattamenti in rapporto al dato e al servizio offerto;
- vengono definite solo per i fornitori ICT.
Best practice sarebbe trattare in modo equivalente i fornitori che abbiano un rischio analogo ossia creare una sorta di “gruppi” dei fornitori e delle misure di sicurezza ad essi applicabili, aggiornandole costantemente in relazione al crescere delle minacce.
Trasferimento dati all’estero: sentenza C-311/2018 del 16 luglio 2020 (Schrems II)
Con la sentenza C-311/2018 del 16 luglio 2020 è stato abrogato il Privacy Shield – maggior strumento utilizzato dalle imprese europee per trasferire i dati personali verso aziende statunitensi che aderivano ad esso – ciò ha portato a rendere illegittimi i trasferimenti che si fondavano su tale accordo!!
A fronte dell’assenza della concessione di un “periodo di grazia”, per poter effettuare trasferimenti verso gli USA, i Titolari europei devono valutare altre condizioni di legittimità revisionando gli accordi contrattuali che si basavano sul Privacy Shield!!
In sintesi: dopo il luglio 2020 le Clausole Contrattuali Tipo (CCS e BCR) possono essere utilizzate come base del trasferimento, se il Titolare effettua una “valutazione sul livello di protezione” garantito dallo Stato destinatario del trasferimento (T.I.A.)
Nel caso in cui tale Stato terzo non offrisse garanzie adeguate dovranno implementarsi misure supplementari al fine di garantire il medesimo livello di protezione dei dati previsto nel SEE.
Se anche a seguito di detta implementazione il livello di protezione non si rivelasse adeguato o non si potessero applicare le deroghe ex art 46 GDPR, si dovrà sospendere il trattamento di dati verso quel Paese. In questo caso, dovrà negoziarsi una modifica o una clausola supplementare al contratto per vietare i trasferimenti e tutte le attività di trattamento dovrebbero avvenire entro lo SEE.
In via residuale, in caso di trattamento episodico, il trasferimento è ammesso se in presenza di una delle condizioni previste dall’art. 49 GDPR (ad esempio: consenso dell’interessato).
Infine, ricordiamo che l’EDPB ha adottato la raccomandazione n. 1/2020 al fine di aiutare Titolari/Responsabili del trattamento nel valutare i paesi terzi e individuare misure supplementari adeguate.
Nello specifico, il percorso suggerito si compone di sei passaggi:
- Conoscere i propri trasferimenti,
- Verificare lo strumento di trasferimento su cui si basa il trattamento,
- Valutare se la legislazione che disciplina l’accesso ai dati è ambigua,
- Individuare e adottare le misure supplementari necessarie a portare il livello di protezione dei dati trasferiti a un livello equivalente a quello dell’UE,
- Valutare se necessario consultare l’autorità di controllo competente,
- Rivalutare ad intervalli regolari il livello di protezione dei dati trasferiti verso paesi terzi.