L'articolo 28 GDPR definisce il responsabile del trattamento e, soprattutto, delinea il rapporto tra questi, i sub responsabili e il titolare del trattamento. Qualche info

Iniziamo dalle definizioni: responsabile e titolare del trattamento secondo art. 4

Per iniziare a definire il rapporto tra il titolare del trattamento e il responsabile , iniziamo con l'articolo 4.7 del GDPR che definisce il titolare come:

"la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali".

Il responsabile è definito dall'art 4.8:
“la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati per conto del titolare del trattamento”.

Resta che il responsabile del trattamento è figura che non è stata introdotta dal GDPR: era già presente nel nostro codice privacy D.lgs. 196/2003. Il GDPR però lo responsabilizza maggiormente rispetto alla gestione del trattamento dati.

Articolo 28 del GDPR: responsabile del trattamento

L'articolo 28 porta ulteriori specifiche a quanto già indicato, rispetto alla figura del responsabile del trattamento, dall'art. 4 del Regolamento. Definisce anzitutto i requisiti soggettivi del responsabile del trattamento, che deve:

• fornire garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate al trattamento;
• garantire la tutela e l'esercizio dei diritti degli interessati.

Il comma 3 dell'articolo 28 GDPR specifica che il responsabile del trattamento deve essere nominato dal Titolare del trattamento con atto scritto. Contratto o altra forma di atto giuridico, purchè questo vincoli il responsabile del trattamento al Titolare dello stesso. Il contratto dovrà:

"stipulare la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.

Non è nulla di diverso da quanto, fino ad oggi, in Italia siamo stati abituati a chiamare "nomina a responsabile esterno del trattamento".

L'articolo 28 e la disciplina del rapporto tra titolare e responabile del trattamento

Vediamo più in dettaglio quali previsioni deve contenere il contratto / atto giuridico che vincola reponsabile e titolare del trattamento. Il responsabile del trattamento deve

• trattare i dati personali solo su istruzione scritta e documentata del Titolare;
• garantire che le persone autorizzate al trattamento dati siano vincolate a riservatezza oppure abbbiano un obbligo legale di riservatezza;
• adottare le misure necessarie alla sicurezza del trattamento (art 32 GDPR);
• rispettare le condizioni previste nel caso in cui ricorra ad altro responsabile del trattamento (sub-responsabile). L'articolo 28 GDPR li chiama "altri responsabili";
• assistere il titolare del trattamento nell'approntare misure tecniche e organizzative adeguate alla natura del trattamento. Questo soprattutto nell'ottica di rendere il titolare in grado di dare seguito alle richieste di esercizio dei diritti da parte degli interessati;
• assistere il titolare nel soddisfacimento degli obblighi e dei requisiti di sicurezza dei dati personali. Questo tenendo di conto della natura del trattamento e del tipo di dati trattati.;
• su richiesta del titolare del trattamento, il responsabile ha l'obbligo di cancellare o restituire tutti i dati personali al termine dell'erogazione dei servizi relativi al trattamento. Salvo eccezioni legalmente previste, il responsabile del trattamento deve cancellare tutte le copie dei dati personali;
• mettere a disposizione del titolare ogni informazione necessaria per dimostrare il respetto degli obblighi normativi;
• avvisare il titolare del trattamento qualora un0istruzione violi il GDPR o altre previsioni normative.

Ulteriori obblighi del responsabile verso il titolare del trattamento

Oltre all'articolo 28, anche gli articoli da 32 a 36 impongono obblighi al responsabile. In dettaglio il responsabile deve assistere il titolare nel soddisfare gli obblighi in fatto di:

• misure di sicurezza dei dati;
• in caso di data breach e segnalazioni all'Autorità di controllo;
• valutazione d'impatto;
• consultazione preventiva dell'Autorità di controllo quando previsto dall'art. 36.

Il responsabile è quindi figura che ha grande rilievo nel definire caratteristiche e modalità del trattamento dati, a partire dalla valutazione del rischio fino a concludere con l'adozione delle misure adeguate. Ecco quindi che il responsabile, come viene chiarito sin dal 2010, ma il GDPR ribadisce il punto, non può che essere figura esterna, distinta e separata dall'organizzazione del titolare del trattamento.

L'articolo 28 GDPR e i sub responsabili

L'articolo 28 GDPR prevede anche le figure dei cosiddetti sub-responsabili. Indica con la definizione di "altri responsabili" quei soggetti ai quali si rivolge il responsabile del trattamento quando abbia necessità di subaffidare, in parte o in tutto, un servizio con connesso trattamento dati del quale ha ricevuto incarico dal Titolare del trattamento.

La figura del sub responsabile nasce con il GDPR. Il nostro codice privacy, nella precedente formulazione, prevedeva infatti solo nomine dirette da parte del titolare. Una formulazione formale che chiudeva gli occhi di fronte ad un mercato più che concreto ed esistente. Con l'articolo 28 del GDPR questa realtà non viene più ignorata, anzi viene disciplinata.

Tutto origina dall'obbligo di autorizzazione preventiva.

“Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato.”

si legge nell'articolo 28.1.

Queste previsioni si riproducono, pari pari, in capo al responsabile del trattamento nel momento in cui decide di ricorrere ad un sub responsabile. Viene preservato così il potere di controllo.

Anche nel caso della nomina del sub responsabile, si richiede autorizzazione preventiva in forma scritta da parte del responsabile, con autorizzazione specifica o generale. Nel caso l'autorizzazione sia generale, il responsabile deve avvisare il titolare di ogni modifica nella catena del trattamento che preveda aggiunta / sostituzione di altri responsabili. Il Titolare ha diritto ad opporsi a queste modifiche.

Un caso concreto > GDPR e Marketing: il committente delle campagne risponde anche per le società terze

Trattamento dati e GDPR: l'accountability del responsabile

Chiudiamo con il tasto dolente. Quali responsabilità sono oneri del responsabile in caso di incidente? L' articolo 82 del GDPR, parla forte e chiaro. Il responsabile

“risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento”.

Il responsabile, in dettaglio, deve

• cooperare con titolare per la valutazione d'impatto e in caso di data breach;
• adottare le misure tecniche e organizzative necessarie ad adeguare la sicurezza al rischio;
• istituire il registro dei trattamenti per conto del titolare;
• designare, dove necessario, il responsabile protezione dati (DPO);
• nominare un rappresentante (nel caso non sia stabilito in territorio europeo);
• cooperare con le autorità di controllo.

Se il responsabile viola questi obblighi può incorrere in sanzione amministratia. Ne risponde proprio per violazione di un obbligo contrattuale. Qui è utile, prima di concludere, una specifica. L'obbligo di misure di sicurezza adeguate riguarda sia il titolare e sia il responsabile del trattamento. Un contratto non chiaro, che non dettagli i rapporti tra queste due figure, può creare difficoltà proprio nella distribuzione delle responsabilità. Ecco perchè è bene che tale punto sia ben definito.