Data protection

La gestione dei rapporti tra titolare, responsabile e sub responsabile del trattamento alla luce del Parere 22/2024 reso dall’EDPB

Considerato che una corretta gestione del trattamento dei dati personali richiede:

  1. una conoscenza in dettaglio della normativa (comunitaria e italiana), dei provvedimenti adottati dalle Autorità garanti europee (il Comitato europeo per la protezione dei dati – EDPB – e il Garante europeo della protezione dei dati – EDPS) e dalle Autorità garanti nazionali, a partire da quella italiana; così come la conoscenza degli arresti giurisprudenziali della CGUE  e della magistratura italiana in materia di trattamento dei dati personali;
  2. una chiara definizione dei ruoli e delle responsabilità nell’ambito di suddetto trattamento, al fine di potere dare corretta applicazione agli istituti normativi.

In riferimento al punto a) si ritiene che la conoscenza in estremo dettaglio dei pareri dello EDPB, che mirano a chiarire gli istituti giuridici delineati dal legislatore comunitario, costituisca per il titolare del trattamento e l’Ufficio Privacy un aspetto imprescindibile per garantire la corretta applicazione delle norme.

In riferimento al punto b) per quanto di stretto interesse in questa sede, ogni figura coinvolta nel processo di gestione dei dati ha specifici doveri e obblighi da rispettare per assicurare il rispetto dei diritti e delle libertà degli interessati, unitamente alla salvaguardia dei dati personali.

A tale proposito l’EDPB Guidelines 07/2020, par. 12: “Quelli di titolare del trattamento e di responsabile del trattamento sono concetti funzionali: mirano a ripartire le responsabilità in funzione dei ruoli effettivamente svolti. Ciò implica che lo status giuridico di un soggetto in quanto «titolare del trattamento» o «responsabile del trattamento» deve, in linea di principio, essere determinato dalle attività effettivamente svolte in una situazione specifica, piuttosto che dalla sua designazione formale in quanto «titolare del trattamento» o «responsabile del trattamento» (ad esempio in un contratto). Ciò significa che la ripartizione dei ruoli dovrebbe, di norma, derivare da un’analisi degli elementi di fatto o delle circostanze del caso e, in quanto tale, non è negoziabile”.

L’art. 4, punto 7 del GDPR definisce il titolare del trattamento (o data controller): “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali”.

Pertanto, il ruolo del titolare del trattamento è inscindibilmente legato all’esercizio effettivo del potere decisionale in relazione alle scelte riguardanti le finalità, le modalità e i mezzi del trattamento dei dati personali.

Nel caso di persone giuridiche (ad es. una azienda sanitaria) il titolare del trattamento è l’ente nel suo complesso, così come la responsabilità sarà imputata all’ente in quanto tale.

Il responsabile del trattamento (o data processor), ai sensi dell’art. 4 punto 8) del GDPR è: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Per la qualifica di responsabile del trattamento è necessaria quantomeno la presenza congiunta di due elementi: a) essere una entità separata rispetto al titolare del trattamento e b) trattare i dati personali per suo conto.

Ai sensi dell’art. 28 GDPR, par. 1, “qualora un trattamento debba essere effettuato per conto di un titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

L’art. 28 del GDPR[1] prevede, previa autorizzazione del titolare del trattamento, anche la possibilità che un responsabile del trattamento ricorra ad altri responsabili (di seguito “sub-responsabili”) per l’espletamento dell’incarico conferito dal titolare medesimo: “il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche”.

Alla luce di quanto sopra, succintamente esposto, nel prendere atto della pubblicazione del Parere 22/2024 su alcuni obblighi derivanti dall’affidamento al responsabile e al sub-responsabile; adottato il 7 ottobre 2024 dallo European Data Protection Board (EDPB), sono individuati una serie di adempimenti che intercettano i seguenti ambiti rispetto ai quali il titolare del trattamento, per il tramite dell’Ufficio Privacy e Sicurezza delle informazioni e il successivo parere del D.P.O., è chiamato ad intervenire:

  1. Analisi dei rischi e valutazione di impatto;
  2. Accordi di nomina del responsabile del trattamento;
  3. Registro dei trattamenti;
  4. Trattazione delle istanze relative all’esercizio dei diritti;
  5. Trasferimento dati personali del responsabile o del sub-responsabile in Paesi terzi.

Riguardo al punto 1, il titolare del trattamento può comunque essere responsabile di trattamenti sotto la sua responsabilità che non siano conformi a tali disposizioni del GDPR, anche se ha adempiuto agli obblighi di verifica dei suoi (sub-)responsabili del trattamento ai sensi dell’art. 28(1) GDPR dettagliato nel presente parere, e il presente parere non affronta la responsabilità del titolare del trattamento per il rispetto delle disposizioni GDPR diverse dall’art. 24(1), 28(1) e 28(2) GDPR.

Di seguito sono descritti esempi non esaustivi della documentazione che il titolare del trattamento dovrebbe valutare ed essere in grado di mostrare all’autorità di controllo competente, ovvero la mappatura del trasferimento, il motivo del trasferimento utilizzato e, ove applicabile, la “valutazione dell’impatto del trasferimento” e le misure supplementari.

Adempimenti a carico dell’Ufficio Privacy

Adempimenti:

Nella redazione di una DPIA (tra le note che abbiamo chiesto allo Studio Storti di potere inserire) e nell’Accordo di nomina a responsabile vanno descritti in dettaglio i seguenti aspetti:

a. la mappatura del trasferimento: è determinata dall’esportatore,

b. quali dati personali vengono trasferiti: sono determinati dall’esportatore,

c. le finalità del trattamento: sono determinate dal titolare,

d. il motivo del trasferimento utilizzato: è determinato dall’esportatore e il titolare lo valuta sulla

    scorta del tipo di motivo utilizzato per il trasferimento iniziale

c. la valutazione dell’impatto del trasferimento: è determinata dall’esportatore e richiamata e inserita dal titolare nelle note alla propria D.P.I.A.

d. quali dati l’esportatore elabora: è determinata dall’esportatore,

e. le misure supplementari: sono determinate dall’esportatore e validate dal titolare.

Parte di queste informazioni sono necessarie al titolare in applicazione dei seguenti articoli: 13(1)(f), 14(1)(f), 15(1)(c), 15(2) GDPR e 30(1)(d) ed (e) GDPR; quindi: informativa, esercizio dei diritti e Registro dei trattamenti.

Riguardo al punto 2, l’EDPB ha anche affrontato, nel parere, una questione sulla formulazione dei contratti titolare-responsabile del trattamento. A questo proposito, un elemento fondamentale è l’impegno del responsabile del trattamento a trattare i dati personali solo su istruzioni documentate del titolare del trattamento, a meno che al responsabile del trattamento non sia “richiesto di [trattare] dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento” (articolo 28(3)(a) GDPR) – ricordando il principio generale secondo cui i contratti non possono prevalere sulla legge.

Adempimento a carico dell’Ufficio Privacy

Alla luce della libertà contrattuale concessa alle parti di adattare il contratto titolare-responsabile del trattamento alle proprie circostanze, entro i limiti dell’articolo 28(3) GDPR, l’EDPB ritiene che includere le parole “a meno che non sia richiesto dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento” (sia alla lettera che in termini molto simili) sia altamente raccomandato ma non obbligatorio.

Prescrizione:

Inserire nell’Accordo la seguente dicitura:

“a meno che non sia richiesto dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento”

Riguardo al punto 3, a mente dell’Articolo 30 Registri delle attività di trattamento (C82), 1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni: (omissis) d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali.

Riguardo al punto 4, l’esercizio dei diritti, un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che la riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità. Ciò include il diritto di accedere ai dati relativi alla salute, ad esempio le cartelle mediche contenenti informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati. Ogni interessato dovrebbe pertanto avere il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali, alla logica cui risponde qualsiasi trattamento automatizzato dei dati e, almeno quando è basato sulla profilazione, alle possibili conseguenze di tale trattamento. Ove possibile, il titolare del trattamento dovrebbe poter fornire l’accesso remoto a un sistema sicuro che consenta all’interessato di consultare direttamente i propri dati personali. Tale diritto non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software. Tuttavia, tali considerazioni non dovrebbero condurre a un diniego a fornire all’interessato tutte le informazioni. Se il titolare del trattamento tratta una notevole quantità d’informazioni riguardanti l’interessato, il titolare in questione dovrebbe poter richiedere che l’interessato precisi, prima che siano fornite le informazioni, l’informazione o le attività di trattamento cui la richiesta si riferisce.

Riguardo al punto 5, sempre lo EDPB ha stabilito che, per quanto riguarda varianti simili “a meno che non sia richiesto dalla legge o da un ordine vincolante di un ente governativo”, l’EDPB ritiene che ciò rimanga nella prerogativa della libertà contrattuale delle parti e non violi di per sé l’articolo 28(3)(a) GDPR. Allo stesso tempo, il Comitato europeo per la protezione dei dati individua nel suo parere una serie di questioni, in quanto tale clausola non esonera il responsabile del trattamento dall’adempimento degli obblighi previsti dal GDPR.

L’EDPB ha anche affrontato, nel parere, una questione sulla formulazione dei contratti titolare-responsabile del trattamento. A questo proposito, un elemento fondamentale è l’impegno del responsabile del trattamento a trattare i dati personali solo su istruzioni documentate del titolare del trattamento, a meno che al responsabile del trattamento non sia “richiesto di [trattare] dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento” (articolo 28(3)(a) GDPR) – ricordando il principio generale secondo cui i contratti non possono prevalere sulla legge.

Adempimento a carico dell’Ufficio Privacy

Alla luce della libertà contrattuale concessa alle parti di adattare il contratto titolare-responsabile del trattamento alle proprie circostanze, entro i limiti dell’articolo 28(3) GDPR, l’EDPB ritiene che includere le parole “a meno che non sia richiesto dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento” (sia alla lettera che in termini molto simili) sia altamente raccomandato ma non obbligatorio.

Prescrizione:

Inserire nell’Accordo la seguente dicitura:

“a meno che non sia richiesto dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento”

Per quanto riguarda varianti simili “a meno che non sia richiesto dalla legge o da un ordine vincolante di un ente governativo”, l’EDPB ritiene che ciò rimanga nella prerogativa della libertà contrattuale delle parti e non violi di per sé l’articolo 28(3)(a) GDPR. Allo stesso tempo, il Comitato europeo per la protezione dei dati individua nel suo parere una serie di questioni, in quanto tale clausola non esonera il responsabile del trattamento dall’adempimento degli obblighi previsti dal GDPR.

[1] Articolo 28 Responsabile del trattamento (C81)

1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti

dell’interessato.

2. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili

del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia  disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di

dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

c) adotti tutte le misure richieste ai sensi dell’articolo 32;

d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;

e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;

f ) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e

h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato .Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

4. Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi

in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

5. L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.

6. Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.

7. La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.

8. Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63.

9. Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.

10. Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

Piattaforma digitale
wifi

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

Segnalazione di non conformità
La chiamata degli utenti per codice, alla luce del Provvedimento del Garante
10 Febbraio 2024
Cibersicurezza
Regolamento n. 2024/2847 relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali 
24 Febbraio 2025
sms
L’autenticazione multi fattore quale misura di sicurezza attraverso il ricorso all’utilizzo di sms. Criticità.
18 Gennaio 2025

Start typing and press Enter to search