Data protection

L’applicazione dell’art. 28 GDPR alla luce del Parere n. 22/2024 dell’EPDB. Suggerimenti per lo svolgimento di un Audit

Letto il Parere 22/2024 su alcuni obblighi derivanti dall’affidamento a uno o più incaricati del trattamento e a un sub incaricato del trattamento, adottato dall’European data Protection Board (di seguito, (EDPB”), in data 7 ottobre 2024.

Il parere spiega che i titolari del trattamento dovrebbero avere a disposizione in qualsiasi momento le informazioni sull’identità (ad es: nome, indirizzo, persona di contatto) di tutti i responsabili del trattamento, sub-responsabili, ecc., in modo che possano adempiere al meglio ai loro obblighi ai sensi dell’art. 28 del GDPR. Inoltre, l’obbligo del titolare del trattamento di verificare se i sub responsabili del trattamento presentino “garanzie sufficienti” dovrebbe applicarsi indipendentemente dal rischio per i diritti e le libertà degli interessati, sebbene tale verifica possa variare, in particolare sulla base dei rischi associati al trattamento.

Sebbene il responsabile del trattamento iniziale debba assicurarsi di proporre sub responsabili del trattamento con sufficienti garanzie, la decisione finale e la responsabilità di incaricare uno specifico sub responsabile del trattamento spettano al titolare del trattamento.

L’EDPB ritiene che, ai sensi del GDPR, il titolare del trattamento non abbia l’obbligo di richiedere sistematicamente i contratti di sub trattamento per verificare se tali obblighi di protezione dei dati sono stati trasmessi lungo la filiera di trattamento. Il titolare del trattamento dovrebbe valutare se la richiesta di una copia di tali contratti o la loro revisione sia necessaria per poter dimostrare la conformità al GDPR.

In aggiunta, qualora i trasferimenti di dati personali al difuori dello Spazio economico europeo (SEE) avvengano tra due sub responsabili del trattamento, il responsabile del trattamento in qualità di esportatore dei dati dovrebbe preparare la documentazione pertinente, ad es. relativa al motivo del trasferimento utilizzato, alla valutazione d’impatto del trasferimento (DPIA) e alle eventuali misure supplementari. Tuttavia, poiché il titolare del trattamento è ancora soggetto agli obblighi derivanti dall’art. 28, par. 1, del GDPR sulle “garanzie sufficienti”, oltre a quelli di cui all’art. 44 per assicurare che il livello di protezione non sia compromesso dai trasferimenti di dati personali, dovrebbe valutare tale documentazione ed essere in grado di mostrala all’Autorità per la protezione dei dati personali competente.

Considerato che la materia oggetto di disamina comporta in capo al titolare del trattamento l’obbligo di garantire il corretto adempimento delle prescrizioni di cui all’art. 28 GDPR e che in caso di violazioni ad esso riferite può incorrere in una sanzione amministrativa pecuniaria pari a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Alla luce del principio di accountability che obbliga il titolare del trattamento ad essere in grado di dimostrare che il trattamento è effettuato conformemente al GDPR, si fornisce una ceck list desunta dallo schema “INVEO  ISDP10003 COMPLIANCE CHECKLIST”, (basato all’Annex A della norma  ISDP©10003:2020).

  1. In merito al modello di Accordo per il trattamento di dati personali con il Responsabile del trattamento, (rev. 3.0 del 2.1.2024), si comunicano i seguenti rilievi:

Art. 11 – Sub-responsabili del trattamento

  1. L’Accordo deve specificare se il titolare del trattamento opta per una autorizzazione specifica oppure un’autorizzazione generale; (cfr. punti 25 e 26 del parere 22/2024).

Art. 18 – Soggetti sub-responsabili

  • Alla luce delle Linee guida EDPB 07/2020, pag. 95, inserire l’obbligo in capo al responsabile di avere acquisito dal sub-responsabile la seguente documentazione:
  • Informativa sulla privacy
  • Termini di servizio
  • Registro delle attività di trattamento
  • Politica di gestione dei registri
  • Politica di sicurezza delle informazioni
  • Relazioni di audit esterni sulla protezione dei dati
  • Certificazioni internazionali riconosciute
  • Per ciascun Accordo con un sub-responsabile prevedere l’inserimento, a carico del responsabile, delle seguenti informazioni:
  • modalità di esecuzione dell’attività di trattamento per conto del responsabile;
  • funzionamento dei sistemi utilizzati;
  • misure di sicurezza,
  • conservazione dei dati;
  • ubicazione dei dati;
  • trasferimenti dei dati,
  • chi ha accesso ai dati;
  • chi sono i destinatari dei dati;
  • (eventuali) sub responsabili utilizzati.
  • Il contratto dovrebbe specificare la frequenza e le modalità del flusso delle informazioni dal sub-responsabile al responsabile del trattamento.

Si trasmette per il seguito di competenza.

Distinti saluti.

Il D.P.O.

. Esame della modulistica utilizzata dal titolare del trattamento dei dati personali. Considerato che il titolare del trattamento (i.e., la ASL di Pescara) ha adottato la Procedura per la gestione di accordi, nomine e designazioni e relativa attribuzione di responsabilità della ASL 03 Abruzzo in base a quanto previsto dal Regolamento UE 2016/679 sulla Protezione dei dati (di seguito, “GDPR2) – artt. 26, 28 e 29 e dal D.Lgs. 196/03 Codice in materia di protezione dei dati personali (Art. 2-quaterdecies).

Presa visione della modulistica impiegata dal titolare del trattamento in fase di stipula degli accordi di nomina dei responsabili del trattamento.

Richiamate:

  • L’audit condotto sulle designazioni dei responsabili del trattamento dei dati, (cfr. nota prot. n. 59647/23 del 12.7.23), dove a fronte di un sostanziale allineamento alle prescrizioni normative si individuavano una serie di aspetti meritevoli di attenzione e di intervento da parte del titolare del trattamento.
  • L’audit condotto al fine di valutare la conformità al GDPR da parte della ASL di Pescara (cfr. nota prot. n. 98278/23 del 21.11.2023), che, al Punto A.2.3. Responsabili del trattamento, individuava – per ciascuno dei requisiti – una serie di “conformità parziali” e per uno di essi una “non conformità”;
  •  la Comunicazione n. 5, assunta al prot. n. 35888/24 del 11.01.2024 con la quale lo scrivente comunicava al titolare del trattamento il Programma degli audit da svolgersi nell’anno 2024 e tra questi al punto 3 erano indicate le designazioni ex art 28 GDPR;
  • L’audit condotto al fine di valutare la conformità al GDPR da parte della ASL di Pescara (cfr. nota prot. n. 52945/23 del 3.6.2024), che, al Punto A.2.3. Responsabili del trattamento, rilevava una situazione non migliorata rispetto all’audit svolto in data 29.11.2023;
  • L’Accordo per il trattamento di dati personali con il responsabile del trattamento (ver. 2.10.2024, rev. 3.0).

Letto il Parere 22/2024 su alcuni obblighi derivanti dall’affidamento a uno o più incaricati del trattamento e a un sub incaricato del trattamento, adottato dall’European data Protection Board (di seguito, (EDPB”), in data 7 ottobre 2024.

Il parere spiega che i titolari del trattamento dovrebbero avere a disposizione in qualsiasi momento le informazioni sull’identità (ad es: nome, indirizzo, persona di contatto) di tutti i responsabili del trattamento, sub-responsabili, ecc., in modo che possano adempiere al meglio ai loro obblighi ai sensi dell’art. 28 del GDPR. Inoltre, l’obbligo del titolare del trattamento di verificare se i sub responsabili del trattamento presentino “garanzie sufficienti” dovrebbe applicarsi indipendentemente dal rischio per i diritti e le libertà degli interessati, sebbene tale verifica possa variare, in particolare sulla base dei rischi associati al trattamento.

Sebbene il responsabile del trattamento iniziale debba assicurarsi di proporre sub responsabili del trattamento con sufficienti garanzie, la decisione finale e la responsabilità di incaricare uno specifico sub responsabile del trattamento spettano al titolare del trattamento.

L’EDPB ritiene che, ai sensi del GDPR, il titolare del trattamento non abbia l’obbligo di richiedere sistematicamente i contratti di sub trattamento per verificare se tali obblighi di protezione dei dati sono stati trasmessi lungo la filiera di trattamento. Il titolare del trattamento dovrebbe valutare se la richiesta di una copia di tali contratti o la loro revisione sia necessaria per poter dimostrare la conformità al GDPR.

In aggiunta, qualora i trasferimenti di dati personali al difuori dello Spazio economico europeo (SEE) avvengano tra due sub responsabili del trattamento, il responsabile del trattamento in qualità di esportatore dei dati dovrebbe preparare la documentazione pertinente, ad es. relativa al motivo del trasferimento utilizzato, alla valutazione d’impatto del trasferimento (DPIA) e alle eventuali misure supplementari. Tuttavia, poiché il titolare del trattamento è ancora soggetto agli obblighi derivanti dall’art. 28, par. 1, del GDPR sulle “garanzie sufficienti”, oltre a quelli di cui all’art. 44 per assicurare che il livello di protezione non sia compromesso dai trasferimenti di dati personali, dovrebbe valutare tale documentazione ed essere in grado di mostrala all’Autorità per la protezione dei dati personali competente.

Rilievi.

Ai successivi punti 1 e 2 si riportano, rispettivamente:

  • le risultanze dell’Audit di cui allanota prot. n. 52945/23 del 3.6.2024;
  • l’audit condotto sulla modulistica recante: Accordo per il trattamento di dati personali con il Responsabile del trattamento, (rev. 3.0 del 2.1.2024),
  • Di seguito i rilievi già trasmessi al titolare del trattamento (previo utilizzo dello schema “INVEO  ISDP10003 COMPLIANCE CHECKLIST”, (basato sll’Annex A della norma  ISDP©10003:2020).
  • In merito al modello di Accordo per il trattamento di dati personali con il Responsabile del trattamento, (rev. 3.0 del 2.1.2024), si comunicano i seguenti rilievi:

Art. 11 – Sub-responsabili del trattamento

  • L’Accordo deve specificare se il titolare del trattamento opta per una autorizzazione specifica oppure un’autorizzazione generale; (cfr. punti 25 e 26 del parere 22/2024).

Art. 18 – Soggetti sub-responsabili

  • Alla luce delle Linee guida EDPB 07/2020, pag. 95, inserire l’obbligo in capo al responsabile di avere acquisito dal sub-responsabile la seguente documentazione:
  • Informativa sulla privacy
  • Termini di servizio
  • Registro delle attività di trattamento
  • Politica di gestione dei registri
  • Politica di sicurezza delle informazioni
  • Relazioni di audit esterni sulla protezione dei dati
  • Certificazioni internazionali riconosciute
  • Per ciascun Accordo con un sub-responsabile prevedere l’inserimento, a carico del responsabile, delle seguenti informazioni:
  • modalità di esecuzione dell’attività di trattamento per conto del responsabile;
  • funzionamento dei sistemi utilizzati;
  • misure di sicurezza,
  • conservazione dei dati;
  • ubicazione dei dati;
  • trasferimenti dei dati,
  • chi ha accesso ai dati;
  • chi sono i destinatari dei dati;
  • (eventuali) sub responsabili utilizzati.
  • Il contratto dovrebbe specificare la frequenza e le modalità del flusso delle informazioni dal sub-responsabile al responsabile del trattamento.

Si trasmette per il seguito di competenza.

Distinti saluti.

Il D.P.O.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

trattamento dei dati personali
AI

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

Valore economico dei dati personali
Il valore economico intrinseco attribuito ai dati personali alla luce della Sentenza del Consiglio di Stato n. 9614/2024
27 Gennaio 2025
azienda dipendente
Il Regolamento UE 2016/679 conferisce all’interessato un diritto effettivo a una spiegazione del funzionamento del meccanismo coinvolto nel processo decisionale automatizzato di cui tale persona è stata oggetto e del risultato di tale decisione”. Lo afferma la CGUE, sentenza Dun & Bradstreet Austria.
22 Aprile 2025
Decreto legislativo
Decreto legislativo n. 104/2022 e problematiche applicative legate al trattamento dei dati personali dei lavoratori. Adempimenti richiesti al Titolare del trattamento.
8 Aprile 2024

Start typing and press Enter to search