Soggetti

Shape 5 Live Search

logo

Il responsabile del trattamento (nel nuovo regolamento europeo data processor) è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento

Responsabile interno od esterno?

Il ruolo del responsabile del trattamento di cui al regolamento europeo è chiaramente riservato ad un soggetto esterno all'azienda, con riferimento ai fornitori di servizi. Infatti, vi è uno specifico obbligo di predisporre un contratto per la designazione delle responsabilità a carico del responsabile. A livelllo europeo, inoltre, si è da sempre affermata l'idea che il responsabile del trattamento non possa essere un soggetto alle dipendenze del titolare. Sia l'ICO britannico che il CNIL francese, infatti, richiamano espressamente il parere (1/2010) del Gruppo articolo 29 per evidenziare come il responsabile sia solo un soggetto esterno all'azienda. 

In particolare il WP29 ricorda che il titolare del trattamento può decidere di trattare i dati all'interno della propria azienda oppure delegare in tutto o in parte le attività di trattamento dati ad un soggetto esterno. Quindi per agire come responsabile del trattamento occorre essere una persona giuridica distinta dal titolare e elaborare dati per conto di questi

Quindi, il responsabile del trattamento deve essere esterno all'azienda. Il responsabile del trattamento tratta i dati attenendosi alle istruzioni del titolare, e assume responsabilità proprie e ne risponde alle autorità di controllo e alla magistratura. Il titolare del trattamento, ovviamente, può distribuire incarichi interni (es. responsabile dell'area legale, dell'area marketing, ecc...), ma la responsabilità rimane sua, e dell'eventuale responsabile (esterno) nominato. 

Nel caso di gruppi di imprese, un’impresa può agire in qualità di responsabile del trattamento per un’altra impresa. 

 

Situazione in Italia 

L'esperienza italiana ha sempre ammesso il responsabile del trattamento interno. In tal senso, con la legge 20 novembre 2017, n. 167 (Disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2017), il legislatore italiano ha modificato l'articolo 29 del Codice Privacy, mantenendo la possibilità di distinguere tra soggetto interno ed esterno. La nomina del responsabile è, quindi, discrezionale, ma se il titolare si avvale di soggetti esterni deve nominarli responsabili del trattamento.

 

Contratto di designazione

Il titolare del trattamento può scegliere se avvalersi o meno dell'esternalizzazione del servizio di trattamento dei dati, ma una volta optato per tale soluzione non può fare a meno di nominare il soggetto in questione quale responsabile del trattamento. 
In tal senso il titolare del trattamento nomina uno o più responsabili. In base all'art. 28 del nuovo regolamento generale europeo, la nomina deve avvenire tramite contratto o altro "atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento". 

Il contratto deve, quindi, essere conforme a quanto stabilito dell'art. 28 del nuovo Regolamento Generale. Col contratto il titolare delega al responsabile la concreta gestione del trattamento, affidandogli uno o più compiti specifici oppure una serie di compiti dettagliati in generale. Il responsabile a sua volta può nominare responsabili di secondo livello, a meno che non sia vietato dalle istruzioni del titolare. E' comunque il responsabile principale a rispondere dell'operato degli altri da lui nominati, di fronte al titolare del trattamento. 

Il titolare del trattamento rimane, a sua volta, responsabile della gestione effettuata dai responsabili, dovendo garantire che le loro decisioni siano conformi alle leggi, e in particolare il titolare deve scegliere responsabili del trattamento che offrano garanzie sufficiente ed adeguate nell’adozione di idonee misure tecniche e organizzative volte alla protezione dei dati personali. Il titolare deve sempre poter sindacare le decisioni dei responsabili. 

Nel caso in cui il responsabile del trattamento ecceda i limiti di utilizzo dei dati fissati dal titolare, il responsabile diventa titolare della gestione illecita dei dati e ne risponde come tale, insieme all'effettivo titolare (in sostanza è come se diventassero contitolari). 

 

Obblighi del responsabile

Innanzitutto il responsabile ha obblighi di trasparenza. In tal senso occorre contrattualizzare il rapporto tra titolare e responsabile, specificando gli obblighi e i limiti del trattamento dati. Il responsabile riceverà, tramite l'atto giuridico (cioè per iscritto), tutte le istruzioni in merito ai trattamenti operati per conto del titolare, alle quali dovrà attenersi. Inoltre il responsabile del trattamento dovrà mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi che gli impone l’articolo 28 del Regolamento, e dovrà tenere il registro dei trattamenti svolti (ex art. 30, paragrafo 2, del Regolamento Generale). 

Poi, il responsabile ha obblighi di garantire la sicurezza dei dati. Egli deve adottare tutte le misure di sicurezza adeguate al rischio (art. 32 regolamento), tra le quali anche le misure di attuazione dei principi di privacy by design e by default, dovrà garantire la riservatezza, vincolando i dipendenti, dovrà informare il titolare delle violazioni avvenute, e dovrà occuparsi della cancellazione dei dati alla fine del trattamento.
Sia il titolare del trattamento che il responsabile, sono tenuti ad attuare le misure tecniche ed organizzative tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Si tratta di specifici requisiti previsti dal GDPR, che indica alcune misure di sicurezza utili per ridurre i rischi del trattamento, quali la pseudonimizzazione e la cifratura dei dati personali, la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 

Infine, il responsabile ha l'obbligo di avvisare, assistere e consigliare il titolare. Dovrà, quindi, consentire e contribuire alle attività di revisione, comprese le ispezioni (o audit), realizzate dal titolare del trattamento, dovrà avvisare il titolare se ritiene che un'istruzione ricevuta viola qualche norma in materia, dovrà prestare assistenza al titolare per l'evasione delle richieste degli interessati.

   

Il web hosting quale responsabile del trattamento

Chiunque gestisce un sito web deve tenere presente che il servizio di web hosting, del quale si serve, è giuridicamente il responsabile del trattamento dei dati (nel contempo, però, è sempre il titolare del trattamento dei propri dati), in quanto il web hosting elabora i dati per conto del titolare. Ciò comporta innanzitutto la necessità di un vero e proprio contratto scritto (o equivalente) tra titolare e web hosting, nel quale sarà precisato cosa può fare il web hosting con i dati e quali misure di sicurezza (tecniche e organizzative) deve predisporre, tenendo conto che devono essere adeguate al rischio valutato. L'hosting dovrà, ovviamente, attenersi alle istruzioni di cui al contratto, anche se rimane una certa discrezionalità, ad esempio nella scelta degli strumenti tecnici ed organizzativi più adatti. E' un punto fondamentale, perché se l'hosting va oltre le istruzioni diventa data controller (cioè titolare) con tutte le conseguenze del caso. 

L'hosting deve conservare il registro dei trattamenti effettuati per conto del cliente (titolare), nel quale deve includere il nome e i dati di contatto dei titolari del trattamento dei dati, i suoi responsabili e eventuali incaricati, le categorie dei dati trattati, gli eventuali trasferimenti internazionali di dati, e una descrizione generale delle misure di sicurezza tecniche e organizzative adottate. Dalla tenuta del registro in teoria sarebbero esentate le imprese con meno di 250 dipendenti, ma le esenzioni sono particolarmente stringenti e difficilmente applicabili ad un hosting. 
L'hosting, inoltre, ha l'obbligo di notificare al titolare le eventuali violazioni di dati. E' buona prassi, quindi, inserire tale obbligo anche nel contratto (che diventerà violazione legale e contrattuale). Poiché l'obbligo a carico del titolare di notificare la violazione agli interessati scatta a partire dal momento in cui ne viene a conoscenza (tramite la comunicazione da parte dell'hosting, in questo caso), si può utilizzare lo stesso termine del GDPR (72 ore). 
Il titolare comunque è responsabile nei confronti delle autorità per eventuali violazioni commesse dal web hosting. 

E' pacifico che il web hosting è responsabile del trattamento con riferimento ai soli trattamenti realizzati per conto del gestore del sito (quale titolare), cliente dell'hosting. Ma se l'hosting va oltre i limiti del mandato, trattando i dati al di là delle istruzioni ricevute, ne diventa contitolare.  

Nel caso in cui ci si serve di un web hosting che si trova al di fuori dello Spazio Economico Europeo (SEE), siamo in presenza di un vero e proprio flusso transfrontaliero dei dati.