Tempo di lettura stimato: 5'
Ti do una notizia. L’autorità Garante, in tutte le ispezioni che sta facendo, sta chiedendo ai titolari del trattamento chi sono i responsabili esterni, come sono stati identificati e come sono stati verificati. Perché la scelta di un responsabile, a prescindere dalla modalità con cui la facciamo, è una scelta che deve essere sempre verificata prima di partire e poi anche dopo, nel corso del tempo. Quindi la gestione del responsabile esterno è una questione sempre più importante, sia perché è un obbligo di legge, ma anche perché il Garante sta facendo le pulci su questo aspetto.
Senza una nomina per iscritto, non c’è responsabile esterno
L’articolo 28 del GDPR ci dice: “Guarda, carissimo titolare del trattamento, che tra te e il responsabile esterno è obbligatorio che ci sia o un contratto con delle clausole o una nomina. Se manca una di queste due cose, è ora di dire basta: non puoi più avvalerti di quel responsabile esterno.”
Il responsabile esterno quindi deve essere nominato per iscritto con un atto di nomina o deve essere nominato nel contratto, cioè con un atto che vincola il responsabile del trattamento al titolare.
Cosa vuol dire che vincola?
Vuol dire che è un accordo che lega le parti e che disciplina quali dati vengono trattati, per quali finalità, eventualmente per quali categorie di interessati e quali sono gli obblighi e i diritti del titolare del trattamento.
Quindi, se tu titolare scegli di usare un responsabile esterno che non si fa nominare per iscritto o nella nomina non elenchi tutti i punti necessari e obbligatori - previsti dall’articolo 28, punto 3 del GDPR, che vedremo fra pochissimo - allora sei sanzionabile e non lo puoi usare.
Il responsabile esterno deve dare delle garanzie, altrimenti non puoi avvalertene
L’articolo 28, punto 3, del GDPR ci dice: “Titolare del trattamento, quando qualcuno fa dei trattamenti di dati personali per conto tuo – e quindi è un responsabile esterno – puoi usarlo solo se presenta garanzie sufficienti. Se non ha queste garanzie, non puoi usarlo.”
Ma quali sono queste garanzie?
Sono 8 punti, dalla A alla H, elencati nel testo del Regolamento e che devono essere presenti nel contratto o nell’atto di nomina. In sintesi, ci dicono questo:
A – Il responsabile esterno deve trattare i dati personali solo su istruzione documentata dal titolare, anche se vengono trasferiti all’estero o verso organizzazioni internazionali, a meno che non lo richieda il diritto dell'Unione o il diritto nazionale cui è soggetto il responsabile del trattamento.
B – Il responsabile esterno deve garantire che le persone autorizzate al trattamento – gli addetti - si sono impegnate alla riservatezza anche come obbligo legale.
C – Il responsabile esterno dichiara di aver adottato le misure tecniche e organizzative per garantire un livello di sicurezza adeguato rispetto ai rischi che corrono i dati e che derivano da distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o trattati.
D – Il responsabile esterno dichiara di rispettare le condizioni della responsibility chain, cioè della catena dei responsabili, che deve essere chiara. Vuol dire che se il responsabile ingaggia altri sub-responsabili, nell’atto di nomina o nel contratto deve esserci scritto: “Io, responsabile esterno, posso aggiungere ulteriori responsabili e ti dico anche come li aggiungo e come ti comunico questa aggiunta.”
E – Nel documento deve essere chiaro cosa succede se un interessato esercita i suoi diritti e chiede come vengono trattati i suoi dati. Quindi, per esempio, se Peppino chiede di accedere ai suoi dati personali, nel contratto o nella nomina a responsabile esterno deve esserci scritto: chi risponde, come risponde, in che tempi risponde e in che modo.
F - Il responsabile esterno ha l’obbligo di assistere il titolare in caso di violazioni sul trattamento e quindi di mettersi a disposizione per fornire informazioni che permettano al titolare di verificare l’adeguatezza dei suoi trattamenti. Inoltre, il responsabile deve avere delle regole scritte che gli spiegano come si deve comportare nel caso in cui ci sia una violazione.
G – È fondamentale e obbligatorio che nel contratto o nella nomina ci siano indicate le modalità di cancellazione e le modalità di restituzione delle informazioni date al responsabile esterno.
H - Il responsabile mette a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi.
Queste cose nel contratto o nell’atto di nomina devono esserci.
Altrimenti tu, titolare del trattamento, non puoi avvalerti di quel responsabile.
E se il responsabile esterno ricorre ad altri responsabili, di chi è la responsabilità?
Sub responsabili e catena di controllo
L’articolo 28, punto 3, del GDPR ci dice: “Quando un responsabile del trattamento ricorre ad un altro responsabile, la responsabilità del sub responsabile è del responsabile.”
Quindi, per legge, tutto quello che un sub responsabile fa - se lo fa giusto, se lo fa sbagliato - ricade sul suo responsabile diretto: il soggetto precedente della catena. È come nel pachinko: una catena di palline in fila: ho il titolare, ho il responsabile, ho i sub responsabili, ho il sub responsabile dei sub responsabili.
Il compito del titolare è controllare i suoi responsabili diretti, poi la legge gli permette, se vuole, di andare a pizzicare anche i sub responsabili, eventualmente accettarli o non accettarli. Ma la gestione e il controllo dei sub responsabili rimangono in capo al responsabile del trattamento.
Verifica periodica del responsabile esterno
Poniamo che individui un responsabile esterno, fai tutte le verifiche obbligatore e poi lo nomini. È finita qui? No. Il controllo del responsabile esterno non si limita all’ingaggio. Il responsabile esterno va verificato periodicamente nel tempo, per vedere se è ancora adeguato oppure no.
Quindi, ogni quanto va controllato?
Dipende. Potrebbero essere cadenze annuali, semestrali, bimestrali, mensili, giornaliere, poco importa, nel senso che non c’è una prescrizione di legge che indica ogni quanto dobbiamo verificare un responsabile esterno.
Ricapitoliamo
Ricapitoliamo quali sono le cose importanti da sapere e da fare nella gestione dei responsabili esterni:
- Un responsabile esterno va identificato attraverso un contratto o attraverso una nomina, qualsiasi formula contrattuale va bene, qualsiasi nomina va bene. L’importante è che riporti gli otto punti che abbiamo visto prima, indicati al punto 3 dell’articolo 28 del GDPR, dalla A alla H. Quindi la nomina è valida solo se gli otto punti sono stati esplicitati tutti. Non possono esserci aziende esterne, che trattano per te dei dati personali ma che non hanno né una nomina, né un contratto. Non ci possono essere.
- È fondamentale e obbligatorio che nel contratto o nella nomina ci sia il dettaglio su quali informazioni tu titolare passi al responsabile, perché gliele passi, quali sono le finalità. E le finalità le dà sempre il titolare. Inoltre, nel contratto o nella nomina ci devono essere le clausole di riservatezza, sempre.
- Nel contratto o nella nomina ci deve essere scritto che il responsabile adotta le misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio sui dati.
- Nel contratto o nella nomina ci devono essere le istruzioni su come si deve comportare il responsabile esterno al trattamento a fronte di una richiesta dell’interessato sui suoi diritti. Devono essere presenti le regole per la gestione del Data Breach e le regole per eventuali assistenze che il responsabile ti deve dare in caso di violazione dei dati.
Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
