ADAPT - Scuola di alta formazione sulle relazioni industriali e di lavoro Per iscriverti al Bollettino ADAPT clicca qui Per entrare nella Scuola di ADAPT e nel progetto Fabbrica dei talenti scrivi a: selezione@adapt.it
Bollettino ADAPT 25 marzo 2019, n. 12
Obiettivo del presente articolo è fornire al lettore delle istruzioni operative su come si dovrebbe realizzare correttamente un atto di nomina a Responsabile del trattamento dei dati personali.
Innanzitutto, occorre capire chi sia il Responsabile del trattamento.
La sua definizione è contenuta nell’art. 4, co. 1, n. 8 del Reg. (UE) 2016/679 (General Data Protection Regulation o, più semplicemente, GDPR). Questa disposizione, in nulla differendo a livello definitorio da quanto già descritto nella Direttiva 95/46/CE, definisce il Responsabile del trattamento come «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento».
Si tratta dunque di un soggetto designato dal Titolare affinché svolga, per conto di quest’ultimo, attività strumentali rispetto alle finalità del trattamento, la cui determinazione è rimessa esclusivamente al Titolare. Il Responsabile, infatti, pur godendo di una discrezionalità decisionale nel suo modus operandi, non concorre con il Titolare nella definizione delle finalità e dei mezzi del trattamento. Per fare un esempio pratico, si pensi alla situazione in cui un’azienda (Titolare del trattamento) affidi la gestione dell’invio di e-mail marketing, con i dati dei suoi clienti (gli interessati), ad un’altra azienda (il Responsabile del trattamento).
Il Regolamento dedica alla disciplina di tale figura l’art. 28 del GDPR.
Posta questa premessa di carattere definitorio, l’art. 28, co. 3, del GDPR dispone che i trattamenti eseguiti dal Responsabile debbano essere disciplinati da un contratto o altro atto giuridico di designazione, il quale vincoli quest’ultimo al Titolare e indichi chiaramente quali siano le finalità del trattamento, nonché le istruzioni per il conseguimento delle stesse. Nonostante la formulazione della norma, che sembra prediligere la forma del contratto, la designazione può consistere in atti di diversa natura, come una clausola contrattuale o un atto integrativo di una convenzione già stipulata o una lettera ad hoc, purché presentino il requisito della forma scritta. Il Regolamento stesso impone tale requisito, prevedendo altresì che anche il formato elettronico sia idoneo ad integrarlo (art. 28, co. 9 del GDPR)[1].
Prima di illustrare quale sia il contenuto minimo dell’atto di designazione, occorre soffermarsi su una particolare responsabilità, posta dal Regolamento in capo al Titolare, nella scelta del soggetto designato a ricoprire il ruolo di Responsabile.
L’art. 28, co. 1, GDPR richiede al Titolare del trattamento di nominare, come Responsabili, soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato[2]. Questa disposizione ha attribuito alla figura del Responsabile una connotazione professionale e, di fatto, ha codificato una responsabilità per culpa in eligendo in capo al Titolare. Di conseguenza, un eventuale danno cagionato all’interessato e derivante da una condotta del Responsabile, rivelatosi incompetente, inesperto o comunque non sufficientemente capace, ricadrà in capo allo stesso Titolare. L’interessato, per ottenere il risarcimento del danno, potrà agire tanto nei confronti del Responsabile quanto del Titolare.
Pertanto, nell’atto di nomina dovranno essere indicati, preferibilmente nel campo di indicazione delle parti, i criteri in base ai quali il Titolare ha scelto un determinato soggetto come Responsabile del trattamento.
Il Regolamento stesso, poi, definisce quale debba essere il contenuto minimo dell’atto di designazione di un Responsabile (art. 28, co. 3, GDPR).
La prima parte dell’atto giuridico deve avere un carattere ricognitivo, disegnando il perimetro di azione in cui andrà ad operare il Responsabile del trattamento. In particolare, dovranno essere indicate:
- Le categorie di dati personali che dovranno essere trattati dal Responsabile e le categorie dei soggetti interessati dal trattamento;
- La natura delle operazioni che dovranno essere effettuate su tali dati;
- Le finalità del trattamento. La determinazione di queste ultime è rimessa esclusivamente al Titolare. In caso contrario, qualora il Responsabile dovesse determinare le finalità e i mezzi del trattamento, verrebbe ad essere considerato (con)titolare del trattamento in questione (art. 28, co. 10, GDPR)[3].
- La durata del trattamento.
La seconda parte dell’atto, invece, deve disciplinare nello specifico gli obblighi del Responsabile. Essa deve contenere:
1) le istruzioni del Titolare per il trattamento dei dati personali. Nella prassi tale clausola viene lasciata generica. Così facendo, il Titolare potrà impartire al Responsabile, di volta in volta, istruzioni più dettagliate e adatte al caso di specie. Quest’ultimo, dovrà comunque informare immediatamente il Titolare qualora, a suo parere, un’istruzione violi il Regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati personali (art. 28, co. 3, ult. periodo, GDPR). Inoltre, se il Responsabile del trattamento è tenuto a procedere a un trasferimento di dati verso un Paese terzo o un’organizzazione internazionale, in virtù delle leggi dell’Unione o dello Stato membro al quale è sottoposto, deve informare il Titolare di quest’obbligo giuridico prima del trattamento, a meno che le leggi interessate non proibiscano una tale informazione per motivi importanti di interesse pubblico (art. 28, co. 3, lett. a, GDPR).
2) la garanzia che le persone autorizzate al trattamento dei dati personali (ad es. i dipendenti del Responsabile, si veda l’art. 29 GDPR) si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza. Tale obbligo potrebbe essere inserito, per es., in un Regolamento aziendale.
3) l’obbligo di adottare le misure minime di sicurezza richieste dall’art. 32 del GDPR.
4) l’obbligo di assiste il Titolare del trattamento nella realizzazione delle analisi d’impatto relative alla protezione dei dati, conformemente a quanto richiesto dall’art. 35 GDPR. Nel caso in cui una valutazione d’impatto indichi che il trattamento presenta un rischio elevato, il Responsabile dovrà allora assistere il Titolare nella consultazione preventiva dell’autorità di controllo, prevista dall’art. 36 GDPR.
5) l’obbligo di tenere un registro delle attività di trattamento che sono state svolte per conto del Titolare. Il registro deve avere il contenuto indicato dall’art. 30, co. 2, GDPR.
6) l’obbligo di assistere il Titolare del trattamento nell’adempimento delle richieste, presentate dall’interessato, per l’esercizio dei diritti previsti dal Capo III del Regolamento. Il Titolare, in questa parte, può prevedere una procedura specifica di gestione delle richieste (ad es. che sia lo stesso Responsabile a dover adempiere a tale obbligo in nome e per conto del Titolare).
7) l’obbligo di informare il Titolare del trattamento, senza ingiustificato ritardo, di una violazione di dati personali dopo esserne venuto a conoscenza. Rientra comunque nella discrezionalità del Titolare delegare al Responsabile di notificare, per suo conto, all’autorità di controllo competente (il Garante per la protezione dei dati personali), le eventuali violazioni. La notifica dovrà avere il contenuto previsto dall’art. 33, co. 2, GDPR.
È possibile, inoltre, che il Titolare richieda al Responsabile di comunicare la violazione dei dati personali alle persone interessate da tale violazione, nelle forme e nei modi previsti dall’art. 34 GDPR.
8) l’obbligo di fornire tutte le informazioni necessarie per dimostrare il rispetto delle istruzioni impartite dal Titolare e degli obblighi indicati nell’atto di nomina. Il Responsabile deve anche consentire e contribuire alle attività di revisione o ispezione, realizzate dal Titolare o da un altro soggetto da questi incaricato.
Nell’atto di nomina il Titolare del trattamento può altresì prevedere, mediante un’autorizzazione generale o specifica (ossia per determinate attività di trattamento), che il Responsabile possa nominare un ulteriore Responsabile[4].
È infine doveroso sottolineare che, nell’atto di nomina, devono essere obbligatoriamente disciplinate le conseguenze derivanti dalla conclusione del rapporto di servizio relativo al trattamento dei dati. In questo senso, l’art. 28, co. 3, lett. g), prevede che, su scelta del Titolare, il Responsabile debba cancellare o restituire tutti i dati personali, nonché cancellare le copie esistenti, a meno che il diritto dell’Unione o degli Stati membri non ne preveda la conservazione.
Michele Cibin
Scuola di dottorato in Formazione della persona e mercato del lavoro
Università degli Studi di Bergamo
[1] È altresì espressamente previsto che l’accordo tra Titolare e Responsabile possa basarsi in tutto o in parte sulle clausole contrattuali tipo elaborate dalla Commissione Europea o dall’Autorità di controllo nazionale (art. 28, commi 6, 7, 8 GDPR). La nostra Autorità di controllo nazionale, il Garante per la protezione dei dati personali, nella sua “Guida all’applicazione del Regolamento Europeo in materia di protezione dei dati personali”, ha affermato che è in corso di valutazione la definizione di clausole contrattuali modello da utilizzare a questo scopo. La Guida è consultabile qui
[2] Si veda sul punto il considerando n. 81 del Regolamento (UE) 2016/679. A tal proposito, l’art. 28, co. 5, prevede che l’adesione, da parte del Responsabile del trattamento a un codice di condotta o a un meccanismo di certificazione approvato (artt. 40 e ss. del GDPR) possa essere utilizzata come elemento per dimostrare le garanzie sufficienti.
[3] Così anche L. Greco, I ruoli: titolare e responsabile, in G. Finocchiaro (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Zanichelli, 2017, p. 263.
[4] Così l’art. 28, commi 2 e 4, del GDPR.