Il General Data Protection Regulation (GDPR), ovvero il Regolamento UE n. 679/2016 sul trattamento e protezione dei dati personali, formalmente in vigore dal 24 maggio 2016, ma pienamente applicabile dal 25 maggio 2018, obbligherà aziende ed enti pubblici non solo a ripensare interamente la gestione e l’approccio alla data protection, ma anche a vagliare, rivedere e aggiornare i contratti in essere con oggetto – o comunque implicanti – un trattamento dei dati personali.
Il nuovo Regolamento stabilisce contenuti contrattuali puntuali e specifici che devono connotare gli accordi tra ogni data controller (l’azienda o ente pubblico titolare del trattamento) che intende esternalizzare un trattamento di dati personali, e il data processor incaricato di detto trattamento (il fornitore di servizi esternalizzati, sia esso un outsourcer tradizionale o un cloud service provider).
È pertanto raccomandabile tener conto delle indicazioni del nuovo Regolamento già durante le negoziazioni relative a servizi esternalizzati a oggi in corso, onde evitare di dover rivedere e adeguare i relativi contratti tra qualche mese, in vista della scadenza del 25 maggio 2018. Data entro la quale l’intera documentazione aziendale sulla gestione della privacy (contratti, lettere di nomina, informative agli interessati, richieste di consenso, ecc.) dovrà essere inderogabilmente conforme alla nuova normativa.
Parallelamente, occorrerà, come detto, verificare e aggiornare la documentazione esistente, per garantirne l’allineamento rispetto al Regolamento.
Ma cosa prevede il GDPR sulla formalizzazione dei reciproci obblighi e responsabilità tra data controller e data processor? Di seguito una schematizzazione delle previsioni salienti in materia.
Who's Who
Gabriele Faggioli
In quali casi il GDPR richiede una formalizzazione scritta degli obblighi relativi all’esternalizzazione del trattamento dei dati personali?
Le ipotesi prese in considerazione dalla normativa sono fondamentalmente due:
- Qualora il titolare affidi uno specifico trattamento a un responsabile;
- Qualora un responsabile del trattamento affidi a un altro responsabile del trattamento l’esecuzione di specifiche attività di trattamento per conto del titolare.
In entrambi i casi, il GDPR prevede che le parti siano tenute a stipulare un “contratto” o un “altro atto giuridico a norma del diritto dell’Unione o degli Stati membri” che vincoli il soggetto preposto alle attività di trattamento, definendone modalità, condizioni, durata, natura e finalità e chiarendo espressamente il tipo di dati personali trattati, le categorie di interessati, nonché gli obblighi e di diritti del titolare del trattamento.
Il riferimento contenuto nella normativa a un mero “atto giuridico” lascia intendere che tale formalizzazione, in continuità con quanto sinora avvenuto, possa essere adempiuta anche mediante le lettere di nomina a responsabile esterno del trattamento ai sensi dell’art. 29 del Codice Privacy, purché provviste dei contenuti minimi indicati dall’art. 28 del GDPR.
Who's Who
Anna Italiano
Quali contenuti dovranno necessariamente presentare gli accordi tra data controller e data processor?
L’art. 28, comma 3, del GDPR dispone che l’accordo vincolante per il responsabile del trattamento debba prevedere in particolare:
- L’obbligo di trattare i dati solo in conformità alle istruzioni – che dovranno essere adeguatamente documentate – ricevute dal titolare, anche in ipotesi di trasferimento dei dati al di fuori dell’Unione Europea.
- L’obbligo di garantire che le persone fisiche autorizzate alle attività di trattamento siano vincolate da obblighi di riservatezza, contrattualmente assunti o stabiliti per legge.
- L’obbligo di adottare le misure richieste ai sensi dell’art. 32 del Regolamento, vale a dire le misure tecniche e organizzative a protezione dei dati ritenuti idonee a garantire un livello di sicurezza adeguato al rischio insito nel trattamento.
- Che in ipotesi di ricorso al subappalto – evenienza che richiede sempre una previa autorizzazione scritta da parte del titolare, sia essa specifica o generale – il responsabile:
– Imponga al proprio subresponsabile, mediante un contratto o un altro atto scritto, gli stessi obblighi di cui all’art. 28.3 del GDPR contenuti nell’accordo tra il primo e il titolare del trattamento, in particolare sotto il profilo delle misure di sicurezza adeguate al trattamento.
– Risponda direttamente nei confronti del titolare per eventuali inadempimenti della propria catena di subfornitura.
– Qualora abbia ricevuto un’autorizzazione generale al subappalto, informi il titolare di eventuali modifiche in ordine alla modifica o alla sostituzione di taluno dei propri subappaltatori, dando così l’opportunità al titolare di opporsi a tali modifiche.
- L’obbligo di assistere il titolare, mediante misure tecniche e organizzative adeguate, e nella misura in cui ciò sia possibile, nel dar seguito alle eventuali richieste degli interessati (accesso, rettifica, cancellazione, portabilità, opposizione).
- Tenendo conto della natura del trattamento e delle informazioni a sua disposizione, l’obbligo di assistere il titolare:
– Nell’assicurare protezione ai dati attraverso misure tecniche e organizzative adeguate, ai sensi dell’art. 32 del Regolamento.
– Nel notificare all’Autorità eventuali data breaches occorsi, ai sensi dell’art. 33 del Regolamento;
– Nel comunicare agli interessati gli eventuali data breaches occorsi, nei casi previsti dall’art. 34 del Regolamento;
– Nell’effettuare la valutazione di impatto (impact assessment) richiesta dall’art. 35 del Regolamento;
– Nel consultare l’Autorità, qualora la valutazione di impatto effettuata indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.
- L’obbligo di cancellazione o restituzione dei dati, su scelta del titolare, al momento della cessazione del rapporto, salvo che la legge non imponga specifici obblighi di conservazione.
- L’obbligo di mettere a disposizione del titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi di cui al presente elenco.
- L’obbligo di consentire al titolare di effettuare attività di audit, direttamente o per il tramite di terze parti all’uopo incaricate.
Quali sono le responsabilità del data controller in ordine al ricorso a un data processor?
Il titolare del trattamento dovrebbe ricorrere unicamente a responsabili che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, così garantendo la possibilità di mettere in atto misure di sicurezza adeguate alle esigenze di protezione espresse dal GDPR. Il ricorso, da parte del responsabile, a codici di condotta o meccanismi di certificazione può certamente costituire un indice di garanzia e affidabilità, e, quindi, un elemento con cui il titolare può dimostrare il rispetto degli obblighi relativi alla diligenza “in eligendo” dei propri data processor.
Oltre all’obbligo di stipulare, con i propri responsabili, accordi scritti che presentino i contenuti minimi di cui si è detto, incombe sul titolare il dovere di fornire loro dettagliate istruzioni scritte in ordine alle modalità del trattamento.
Resta inteso che l’eventuale esternalizzazione totale o parziale del trattamento non implica alcuna deresponsabilizzazione per il titolare, il quale risponderà direttamente, per ciò che a egli compete, in ordine alla conformità normativa delle proprie attività di trattamento dati.
Quali sono le responsabilità dirette del data processor alla luce del GDPR?
L’aggravamento della posizione del data processor e la sua maggiore responsabilizzazione costituiscono una novità assoluta introdotta dalla nuova normativa.
A norma dell’art. 82 del Regolamento, e salvo che non dimostri che l’evento dannoso non possa essergli in alcun modo imputato, il responsabile risponde, in solido con il titolare e per l’intero ammontare, del danno cagionato da un trattamento non conforme a normativa se:
- ha agito in modo difforme o contrario rispetto alle istruzioni legittime ricevute dal titolare; ovvero
- non ha adempiuto agli obblighi che il GDPR pone direttamente in capo ai responsabili. Tra di essi, rilevano soprattutto: gli obblighi relativi al subappalto; gli obblighi di cooperazione con le Autorità di controllo; gli obblighi relativi alla sicurezza; l’obbligo di istituire e aggiornare il registro delle attività di trattamento effettuate per conto del titolare; l’obbligo di informare, senza giustificato ritardo, il titolare dei data breaches di cui sia venuto a conoscenza; l’obbligo di nominare un Data Protection Officer (DPO), laddove richiesto per legge.
In breve, il GDPR imporrà una formalizzazione più stringente degli obblighi che presiedono al trattamento e comporterà un aggravamento della posizione e delle responsabilità del data processor, in tal modo auspicabilmente creando i presupposti, da un lato, per un innalzamento delle garanzie di sicurezza da parte dell’offerta di servizi, dall’altro lato, per incoraggiare le imprese verso l’esternalizzazione dei propri trattamenti.