La esternalizzazione dei trattamenti di dati personali e le garanzie da chiedere ai fornitori.trattamenti di dati personali e le garanzie da chiedere ai fornitori.La esternalizzazione dei trattamenti di dati personali e le garanzie da chiedere ai fornitori.
-
- 15 Gennaio 2025
Il tema che si porta all’attenzione del titolare del trattamento (sia esso una azienda oppure un ente) è riferito al ricorso all’esternalizzazione di trattamenti di dati personali, a volte anche di quelli appartenenti a categorie particolari (ad es. dati sanitari) o a dati relativi a condanne penali e reati.
L’occasione per parlarne è fornita da un Provvedimento del Garante per la Protezione dei Dati Personali (di seguito, “Garante”)[1] relativo a un procedimento avviato a seguito della ricezione di due separati atti di reclamo proposti nei confronti della Società in materia di trattamento di dati personali per finalità di telemarketing.
Quello che interessa evidenziare in questa sede sono gli aspetti che il titolare del trattamento deve gestire al fine di garantire una corretta applicazione dei principi contenuti nel regolamento UE 2016/679 (GDPR), anche nell’ipotesi in cui fosse sottoposto ad attività ispettiva da parte del Garante.
Inquadramento giuridico.
Al fine di avere un quadro il più completo possibile delle figure di titolare e responsabile del trattamento, è necessario rifarsi alle “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR Versione 2.0”
I concetti di titolare del trattamento, di contitolare del trattamento e di responsabile del trattamento svolgono un ruolo fondamentale nell’applicazione del regolamento generale sulla protezione dei dati [GDPR, regolamento (UE) 2016/679)], in quanto stabiliscono chi è il responsabile del rispetto delle diverse norme in materia di protezione dei dati e in che modo gli interessati possono esercitare i propri diritti in concreto. Il significato preciso di tali concetti e i criteri per una corretta interpretazione degli stessi devono essere sufficientemente chiari e coerenti in tutto lo Spazio economico europeo (SEE). I concetti di titolare del trattamento, di contitolare del trattamento e di responsabile del trattamento sono funzionali, in quanto mirano a ripartire le responsabilità in funzione dei ruoli effettivi delle parti, e autonomi, nel senso che dovrebbero essere interpretati principalmente ai sensi del diritto dell’UE in materia di protezione dei dati. Titolare del trattamento
Titolare del trattamento. In linea di principio non vi sono limitazioni per quanto concerne la natura dei soggetti che possono assumere il ruolo di titolare del trattamento, tuttavia in pratica è solitamente l’organizzazione in quanto tale e non una persona fisica all’interno dell’organizzazione (come l’amministratore delegato, un dipendente o un membro del consiglio di amministrazione) ad agire in qualità di titolare del trattamento. Il titolare del trattamento è il soggetto che decide in merito a determinati elementi chiave del trattamento stesso. La titolarità può essere definita a norma di legge o può derivare da un’analisi degli elementi di fatto o delle circostanze del caso. Talune attività di trattamento possono essere considerate come naturalmente connesse al ruolo ricoperto da un determinato soggetto (il datore di lavoro rispetto ai dipendenti, l’ editore rispetto agli abbonati o un’associazione rispetto ai membri). In molti casi, le condizioni previste da un contratto possono agevolare l’individuazione del titolare del trattamento, sebbene non siano sempre determinanti. Il titolare stabilisce le finalità e i mezzi del trattamento, ossia il motivo e le modalità del trattamento. Il titolare del trattamento è chiamato a decidere tanto sulle finalità quanto sui mezzi. Tuttavia, taluni aspetti più prettamente pratici legati all’implementazione del trattamento («mezzi non essenziali») possono essere delegati al responsabile del trattamento. Per essere qualificato come titolare del trattamento non è necessario che tale soggetto abbia accesso effettivo ai dati trattati.
Responsabile del trattamento Il responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organo che tratta dati personali per conto del titolare del trattamento. Due condizioni sono indispensabili per configurare il ruolo di responsabile del trattamento: essere un soggetto distinto rispetto al titolare del trattamento e trattare dati personali per conto del titolare del trattamento. Al responsabile del trattamento non è consentito trattare i dati in modo diverso rispetto a quanto indicato nelle istruzioni del titolare. Tuttavia, le istruzioni del titolare del trattamento possono lasciare un certo margine di discrezionalità su come servirne al meglio gli interessi, consentendo al responsabile del trattamento di avvalersi dei mezzi tecnici e organizzativi più idonei.
Cionondimeno, un responsabile del trattamento viola il GDPR qualora non si limiti a trattare i dati in base alle istruzioni del titolare del trattamento e inizi a definire mezzi e finalità propri. Il responsabile del trattamento sarà pertanto considerato titolare rispetto a tale ultimo trattamento e può essere soggetto a sanzioni qualora non si limiti a trattare i dati in base alle istruzioni impartite dal titolare del trattamento. Rapporto tra titolare e responsabile del trattamento Il titolare del trattamento deve avvalersi unicamente di responsabili del trattamento che presentino garanzie sufficienti per l’attuazione di misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del GDPR. Gli elementi di cui tenere conto potrebbero essere le conoscenze specialistiche del responsabile del trattamento (ad esempio, le competenze tecniche in materia di misure di sicurezza e di violazione dei dati), il grado di affidabilità, le risorse di cui dispone il responsabile e l’adesione di quest’ultimo a un codice di condotta o a un meccanismo di certificazione riconosciuti. Qualsivoglia trattamento di dati personali da parte di un responsabile del trattamento deve essere disciplinato da un contratto o da un atto giuridico di altra natura, redatto per iscritto, anche in formato elettronico, con carattere di vincolatività.
Il titolare e il responsabile del trattamento possono negoziare un contratto specifico, comprensivo di tutti gli elementi obbligatori, oppure basarsi, in tutto o in parte, su clausole contrattuali tipo. Il GDPR elenca gli elementi che devono figurare nell’accordo di trattamento, il quale tuttavia non dovrebbe limitarsi a ribadire le disposizioni del GDPR; piuttosto, tale accordo dovrebbe disciplinare in modo più specifico e concreto come saranno soddisfatti i requisiti applicabili e quale sia il livello di sicurezza richiesto per il trattamento dei dati personali oggetto dell’accordo stesso.
Gli obblighi in capo al titolare del trattamento.
- la nomina a Responsabile del trattamento ex art. 28 del Regolamento, che prevede espressamente la preventiva comunicazione, ad opera del responsabile, degli eventuali sub-responsabili al fine di provvedere alla loro identificazione e mappatura
- Il Responsabile è tenuto, altresì, a stipulare un apposito contratto con il subresponsabile, con l’effetto di far ricadere anche su tale ultimo soggetto i medesimi obblighi assunti dal Responsabile del trattamento nei confronti del Titolare
- Il contratto con il fornitore deve prevedere una clausola risolutiva espressa che consente al titolare di risolvere il contratto in caso di violazione della normativa in materia di protezione dei dati personali.
- Definizione di misure organizzative e di sicurezza contestualizzate alla fornitura in esame
- Formazione del titolare nei confronti dei responsabili
- Audit da svolgere presso il Fornitore.
- Definizione di misure organizzative e di sicurezza contestualizzate alla fornitura in esame. Le carenze di tali obblighi integrano
Una non piena adesione agli obblighi gravanti sul titolare del trattamento ai sensi dell’art. 28[2] del Regolamento e alle misure di sicurezza poste in essere dal titolare del trattamento, può rivelare un quadro della governance privacy non completamente aderente e aggiornato rispetto alla vigente normativa; con il determinarsi delle seguenti possibili violazioni:
a) artt. 5, par. 2[3] e 24[4] del Regolamento per non avere compiutamente adempiuto nell’ambito dell’istruttoria preliminare del presente procedimento all’onere di dimostrare che le operazioni di trattamento siano condotte in ottemperanza alla normativa sulla protezione dei dati personali;
b) artt. 5, par. 2, 24 e 28 del Regolamento per la mancata implementazione di misure e procedure idonee a fare in modo che in caso di svolgimento di trattamenti in outsourcing, vengano selezionati soltanto soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato (cd. culpa in eligendo);
e) artt. 5, par. 2, 24 e 28 del Regolamento per la mancata implementazione di istruzioni, misure e procedure pienamente aderenti alla disciplina applicabile e idonee e garantire l’efficace vigilanza sull’operato dei Responsabili del trattamento (cd. culpa in vigilando);
f) artt. 5, 25 e 32[5] del Regolamento per la mancata implementazione di misure di sicurezza tecniche e organizzative idonee a scongiurare il rischio dell’attivazione di contratti originati da un contatto illecito, nonché dell’accesso ai sistemi aziendali da parte di soggetti non autorizzati.
[1] Provvedimento del 13 novembre 2024 [doc. web n. 10086536] Provvedimento del 13 novembre 2024 Registro dei provvedimenti n. 672 del 13 novembre 2024
[2] Articolo 28 Responsabile del trattamento (C81)
1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative deguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.
2. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili
del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.
3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:
a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
c) adotti tutte le misure richieste ai sensi dell’articolo 32;
d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
f ) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e
h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.
4. Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi
in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.
5. L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.
6. Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.
7. La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.
8. Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63.
9. Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.
10. Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.
[3] Articolo 5 Principi applicabili al trattamento di dati personali
(omissis)
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»). (C74)
[4] Articolo 24 Responsabilità del titolare del trattamento (C74-C78)
1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato
conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.
3. L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.
[5] Articolo 32 Sicurezza del trattamento (C83)
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
