Il responsabile del trattamento (in inglese data processor) nel nuovo regolamento europeo è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento e in base alle sue istruzioni (art. 4, par. 1, n. 8 GDPR).
Secondo l'EDPB (Linee Guida sul concetto di titolare e responsabile del trattamento, 2020), due sono le condizioni per qualificare un soggetto come responsabile:
- deve essere un soggetto distinto dal titolare;
- deve elaborare dati per conto del titolare.
Il ruolo del responsabile va definito in relazione al contesto, e se il servizio fornito non è specificamente finalizzato al trattamento di dati personali o qualora il trattamento non costituisca un elemento chiave del servizio, il fornitore di servizi potrebbe essere un titolare autonomo del trattamento (es. la piattaforma per garantire gli spostamenti sul territorio dei propri dipendenti). Ulteriormente, se il processor combina dati del titolare con dati propri va oltre il mandato e diventa titolare.
Il titolare del trattamento risponde della gestione effettuata dai responsabili nominati, dovendo ricorrere per tale ruolo a soggetti che presentino garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto le misure tecniche e organizzative che soddisfino i requisiti del Regolamento (Considerando 81 GDPR), e che le sue decisioni siano conformi alle leggi. Compito specifico del titolare è, infatti, quello di valutare il rischio del trattamento nel suo complesso, e quindi anche quello che viene eseguito per suo conto tramite i responsabili. Quindi il titolare deve sempre poter sindacare le decisioni dei responsabili e il responsabile deve sempre essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell'interessato.
Il responsabile del trattamento dovrà avere innanzitutto una competenza qualificata (ad esempio, frequentazione di corsi di aggiornamento), e garantire una particolare affidabilità, un requisito fondato su aspetti etici e deontologici (ad esempio, l'assenza di condanne penali). Ovviamente dovrà disporre delle risorse tecniche adeguate per l'attuazione degli obblighi derivanti dal contratto di designazione e dalle norme in materia.
Responsabile interno od esterno?
Il ruolo del responsabile del trattamento di cui al regolamento europeo è chiaramente riservato ad un soggetto esterno all'azienda, con riferimento ai fornitori di servizi. Infatti, vi è uno specifico obbligo di predisporre un contratto per la designazione delle responsabilità a carico del responsabile. A livello europeo, inoltre, si è da sempre affermata l'idea che il responsabile del trattamento non possa essere un soggetto alle dipendenze del titolare. Sia l'ICO britannico che il CNIL francese, infatti, richiamano espressamente il parere (1/2010) del Gruppo articolo 29 per evidenziare come il responsabile sia solo un soggetto esterno all'azienda.
In particolare il WP29 ricorda che il titolare del trattamento può decidere di trattare i dati all'interno della propria azienda oppure delegare in tutto o in parte le attività di trattamento dati ad un soggetto esterno. Quindi per agire come responsabile del trattamento occorre essere una persona giuridica distinta dal titolare e elaborare dati per conto di questi. L'EDPB con le Linee guida del 2020 ha ricordato che le risorse coinvolte nel trattamento ed appartenenti all’organizzazione del titolare coincidono con il titolare stesso, o comunque potranno essere definite quali persone autorizzate, eventualmente anche "referenti" o "delegati" se assumono maggiori responsabilità (come ad esempio il coordinamento degli altri autorizzati).
In conclusione, il responsabile del trattamento è soggetto esterno all'azienda. Tratta i dati personali attenendosi alle istruzioni del titolare, assume responsabilità proprie e ne risponde alle autorità di controllo e alla magistratura. Il titolare del trattamento, ovviamente, può distribuire incarichi interni (es. responsabile dell'area legale, dell'area marketing, ecc...), ma la responsabilità rimane sua.
Nel caso di gruppi di imprese, un’impresa può agire in qualità di responsabile del trattamento per un’altra impresa. Per quanto riguarda i professionisti iscritti ad albi o comunque le ipotesi in cui il fornitore esterno ha ampia autonomia e si autorganizza (commercialista, avvocato, medico del lavoro Legge 81/2008, consulente del lavoro, azienda per il DVR -documento valutazione rischi-), questo porta a configurare più correttamente il soggetto come titolare autonomo piuttosto che responsabile, appunto perchè non riceve istruzioni specifiche sul trattamento da parte del titolare.
Situazione in Italia
L'esperienza italiana ha sempre ammesso il responsabile del trattamento interno. In tal senso, con la legge 20 novembre 2017, n. 167 (Disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2017), il legislatore italiano ha modificato l'articolo 29 del Codice Privacy, mantenendo la possibilità di distinguere tra soggetto interno ed esterno. Tale articolo è stato, però, abrogato, con la riforma del Codice Privacy. Più correttamente un soggetto interno con particolari compiti potrà essere definito referente o delegato, anche se comunque rientra nella categoria degli autorizzati.
Contratto di elaborazione dati e contenuto minimo
Il titolare del trattamento può scegliere se avvalersi o meno dell'esternalizzazione del servizio di trattamento dei dati, ma una volta optato per tale soluzione non può fare a meno di designare il soggetto in questione quale responsabile del trattamento. In realtà il GDPR (art. 28) non parla di nomina, bensì stabilisce che i trattamenti del responsabile debbano essere disciplinati da un contratto o altro atto giuridico che vincoli il responsabile del trattamento al titolare del trattamento e che regolamenti la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto (sostanzialmente un contratto di mandato) deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisca garanzie sufficienti, quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento.
Col contratto di elaborazione dati (anche DPA, Data Processing Agreement o Data Processing Addendum), in base a quanto stabilito dell'art. 28 del nuovo regolamento europeo, il titolare delega al responsabile la concreta gestione del trattamento, affidandogli uno o più compiti specifici oppure una serie di compiti dettagliati in generale. Nella prassi è invalso l'uso che sia il responsabile a redigere un contratto che poi il titolare eventualmente accetterà dopo aver verificato che le garanzie fornite sono sufficienti. Questo perché i titolari (cioè i clienti) non sempre sono in grado di stabilire concretamente quali garanzie sono applicabili ai servizi richiesti, e comunque per il fornitore valutare e conformarsi a contratti diversi per ogni cliente sarebbe defatigante.
Il titolare ha il dovere di ricorrere solo a responsabili che forniscono garanzie sufficienti per l'implementazione delle misure tecniche e organizzative adeguate, si tratta di una vera e propria fase di valutazione del rischio, e l'EDPB ricorda che il titolare deve prendere in considerazione:
- le conoscenze specialistiche del responsabile (es. competenze tecniche in materia di misure di sicurezza e violazioni dei dati);
- l’affidabilità del responsabile;
- le risorse in suo possesso.
Anche la reputazione del responsabile sul mercato può essere un fattore rilevante ai fini della valutazione. Secondo l'EDPB l’obbligo di ricorrere a responsabili “che offrano garanzie sufficienti” è un obbligo “continuo”, cioé il titolare è tenuto a valutare il rischio anche successivamente alla stipulazione del contratto, anche mediante apposite ispezioni presso il responsabile.
Nel caso in cui il responsabile del trattamento ecceda i limiti di utilizzo dei dati fissati dal titolare, e ponga in essere condotte che determinino le finalità o i mezzi del trattamento, diventa titolare della gestione illecita dei dati e ne risponde come tale insieme all'effettivo titolare (è come se diventassero contitolari).
La Commissione europea ha adottato le Clausole Contrattuali Standard per regolamentare i rapporti tra titolare e responsabile, sulla base del parere fornito dall'EPBD con l'opinione 14 del luglio 2019. Ricordiamo che qualsiasi modifica al data processing agreement proposta nel corso del rapporto contrattuale deve essere notificata al titolare ed approvata da questo, non potendo la semplice pubblicazione sul sito web o la mera comunicazione via email sostituirne l’informazione e l’approvazione.
Obblighi del responsabile
Il responsabile ha innazitutto obblighi di trasparenza, sia verso il titolare che verso gli interessati. In tal senso occorre contrattualizzare il rapporto tra titolare e responsabile, specificando gli obblighi e i limiti del trattamento dati. Il responsabile riceverà, tramite l'atto giuridico (cioè per iscritto), tutte le istruzioni in merito ai trattamenti operati per conto del titolare, alle quali dovrà attenersi. Inoltre il responsabile del trattamento dovrà mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi che gli impone l’articolo 28 del Regolamento, e dovrà tenere il registro dei trattamenti svolti (ex art. 30, paragrafo 2, GDPR).
Il responsabile deve attenersi rigorosamente alle istruzioni ricevute. In tal senso non ha che limitati ambiti di autonomia decisionale, se non all'interno degli spazi espressamente previsti dal contratto. In genere il responsabile si occupa autonomamente di stabilire le misure di sicurezza dei dati e dei processi da lui operati, trattandosi spesso di aziende di grandi dimensioni che forniscono espressamente servizi di tale tipo, pensiamo ad esempio ai cloud provider.
Il responsabile ha l'obbligo di garantire la sicurezza dei dati. Egli deve adottare tutte le misure di sicurezza adeguate al rischio (art. 32 GDPR), tra le quali anche le misure di attuazione dei principi di privacy by design e by default, dovrà inoltre garantire la riservatezza dei dati, vincolando i dipendenti, dovrà informare il titolare delle violazioni avvenute, e dovrà occuparsi della cancellazione dei dati alla fine del trattamento.
Sia il titolare del trattamento che il responsabile sono tenuti ad attuare le misure tecniche ed organizzative tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Si tratta di specifici requisiti previsti dal GDPR, che indica alcune misure di sicurezza utili per ridurre i rischi del trattamento, quali la pseudonimizzazione e la cifratura dei dati personali, la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Il responsabile può dimostrare le garanzie sufficienti anche attraverso l’adesione a codici deontologici ovvero a schemi di certificazione.
Il responsabile ha obblighi di collaborazione col titolare, al fine di consentire a quest'ultimo di svolgere le sue attività di documentazione della conformità dei suoi processi. Quindi dovrà avvisare, assistere e consigliare il titolare, consentire e contribuire alle attività di revisione, comprese le ispezioni (o audit), realizzate dal titolare del trattamento, dovrà avvisare il titolare se ritiene che un'istruzione ricevuta viola qualche norma in materia, dovrà prestare assistenza al titolare per l'evasione delle richieste degli interessati, dovrà avvisare il titolare in caso di violazioni dei dati, e assisterlo nella conduzione di una valutazione di impatto (DPIA).
Infine, l’art.27 GDPR prevede che il responsabile del trattamento debba designare per iscritto un Rappresentante nell’Unione nel caso in cui si occupi del “trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: (C23, C24) a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”. Tale obbligo non sussiste solo se il trattamento è occasionale o non nclude il trattamento su larga scala di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10, ed è improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche, tenuto conto della natura, del contesto, dell’ambito di applicazione e delle finalità del trattamento. Non si applica nemmeno alle autorità pubbliche o agli organismi pubblici.
Sub-responsabili
Il sub-responsabile è un soggetto che assume il ruolo di responsabile nei confronti di un altro responsabile, in caso di sub-appalto delle attività di trattamento per conto del titolare. Il responsabile non può nominare dei responsabili di secondo livello, a meno che non abbia una autorizzazione scritta del titolare. L'autorizzazione può essere generale (nel qual caso il responsabile deve avvertire dell'aggiunta o modifica di un sub-responsabile, consentendo in tal modo l'opposizione del titolare all'aggiunta o sostituzione di sub-responsabili) oppure specifica.
Al sub-responsabile dovranno essere fornite le istruzioni, e dovrà operare nel rispetto degli obblighi imposti al primo responsabile del trattamento, oltre a dover fornire le garanzie sufficienti previste dall'art. 28 GDPR (par. 3), proprio come il responsabile nei confronti del titolare. Tali garanzie dovranno essere contrattualizzate. E' comunque sempre il responsabile principale a rispondere dell'inadempimento dei sub-responsabili, anche ai fini del risarcimento di eventuali danni causati dal trattamento, nei confronti del titolare, a meno che non riesca a dimostrare che il danno non è in alcun modo imputabile a lui.
Il Garante italiano è intervenuto nella materia (provvedimento 46 del 2012) precisando che occorre:
- una preventiva informazione al titolare da parte del responsabile della designazione di un sub-responsabile e l’ottenimento del suo consenso;
- un accordo scritto fra responsabile e sub-responsabile che prescriva il rispetto dei medesimi obblighi cui il responsabile stesso è vincolato in virtù della sua nomina da parte del titolare;
- la predisposizione da parte del Responsabile di un elenco aggiornato dei contratti chiusi con i propri sub-responsabili.
Responsabilità e danni
Nel caso di trattamento in violazione delle norme del regolamento europeo, il responsabile risponde, congiuntamente al titolare, per il danno cagionato all'interessato, secondo quanto previsto dall'articolo 82. Il responsabile risponde per il danno causato dal trattamento solo in caso di non corretto adempimento degli obblighi previsti dalle norme in capo al responsabile stesso, oppure se ha agito in modo difforme rispetto alla istruzioni del titolare del trattamento. Le condotte non conformi al GDPR che determinino le finalità e i mezzi del trattamento (cioé se agisce come fosse titolare) producono l'effetto di qualificare il responsabile come titolare ipso iure del trattamento (art. 28 par. 10 GDPR).
Il Considerando 28 stabilisce, altresì, un obbligo in capo al responsabile di informare immediatamene il titolare del trattamento qualora ritenga un'istruzione fornitagli in violazione delle norme in materia di protezione dei dati personali, compreso le norme nazionali. Di conseguenza il regolamento europeo configura, in capo al responsabile, un dovere generale di verifica e controllo generale della conformità delle procedure aziendali con conseguente responsabilità, in solido col titolare, nel caso di omesso controllo o omessa informazione al titolare.
Esemplificando il responsabile potrebbe rispondere nei casi in cui:
- travalica le istruzioni del titolare;
- agisce in contrasto con le istruzioni del titolare;
- non assiste il titolare (ad esempio per le violazioni dei dati o la valutazione di impatto);
- non pone a disposizione del titolare le informazioni necessarie per un audit;
- non informa il titolare che una sua istruzione è in violazione della normativa;
- pur essendovi obbligato, non designa il DPO;
- designa un sub-responsabile non essendo stato previamente autorizzato;
- designa un sub-responsabile che non offre garanzie sufficienti;
- non tiene il registro dei trattamenti.
Se più titolari o responsabili sono coinvolti nello stesso trattamento e sono responsabili del danno causato, ne rispondono in solido per l'intero danno, al fine di garantire l'intero risarcimento. Ovviamente chi paga l'intera somma avrà diritto di regresso nei confronti degli altri responsabili per la quota.
Il titolare e il responsabile sono esonerati da responsabilità se dimostrano che l'evento dannoso non è imputabile alla loro condotta, o se dimostrano di aver adottato tutte le misure idonee per evitare il danno stesso.
Il web hosting quale responsabile del trattamento
Il servizio di web hosting è giuridicamente il responsabile del trattamento dei dati rispetto al gestore del sito web (nel contempo, però, è sempre il titolare del trattamento dei propri dati), in quanto il web hosting elabora i dati per conto del titolare (cioè il cliente). Ciò comporta innanzitutto la necessità di un vero e proprio contratto scritto (o equivalente) tra titolare e web hosting, nel quale sarà precisato cosa può fare il web hosting con i dati e quali misure di sicurezza (tecniche e organizzative) deve predisporre, tenendo conto che devono essere adeguate al rischio valutato. L'hosting dovrà, ovviamente, attenersi alle istruzioni di cui al contratto, anche se rimane una certa discrezionalità, ad esempio nella scelta degli strumenti tecnici ed organizzativi più adatti. E' un punto fondamentale, perché se l'hosting va oltre le istruzioni diventa data controller (cioè titolare) con tutte le conseguenze del caso.
L'hosting deve tenere il registro dei trattamenti effettuati per conto del cliente, nel quale deve includere il nome e i dati di contatto dei titolari del trattamento dei dati, i suoi responsabili e eventuali incaricati, le categorie dei dati trattati, gli eventuali trasferimenti internazionali di dati, e una descrizione generale delle misure di sicurezza tecniche e organizzative adottate. Dalla tenuta del registro in teoria sarebbero esentate le imprese con meno di 250 dipendenti, ma le esenzioni sono particolarmente stringenti e difficilmente applicabili ad un hosting.
L'hosting, inoltre, ha l'obbligo di notificare al cliente le eventuali violazioni di dati. E' buona prassi, quindi, inserire tale obbligo anche nel contratto (che diventerà violazione legale e contrattuale). Poiché l'obbligo a carico del titolare di notificare la violazione agli interessati scatta a partire dal momento in cui ne viene a conoscenza (tramite la comunicazione da parte dell'hosting, in questo caso), si può utilizzare lo stesso termine del GDPR (72 ore). Il titolare comunque è responsabile nei confronti delle autorità per eventuali violazioni commesse dal web hosting.
E' pacifico che il web hosting è responsabile del trattamento con riferimento ai soli trattamenti realizzati per conto del gestore del sito (quale titolare), cliente dell'hosting. Ma se l'hosting va oltre i limiti del mandato, trattando i dati al di là delle istruzioni ricevute, ne diventa contitolare.
Infine, nel caso in cui ci si serve di un web hosting che si trova al di fuori dello Spazio Economico Europeo (SEE), siamo in presenza di un vero e proprio flusso transfrontaliero dei dati.