GDPR ART. 28 – RESPONSABILI: perché vincolarli a sé con un atto o contratto giuridico e come regolarsi con chi è riluttante ad accettarlo?

G

(per note, riferimenti e sigle v. nota in calce)

Il GDPR garantisce la tutela dei diritti delle persone fisiche,

  • disponendo rigorose attività di sicurezza e di protezione dei dati
  • chiamando in causa l’accountability o responsabilizzazione del titolare
  • imponendo particolari obblighi al titolare e in buona parte anche ai responsabili del trattamento (professionisti e società le cui attività e servizi resi al titolare comportano il trattamento dei dati di suoi interessati [art. 4.8; C74; art. 28]), e cioè:
    • attuare misure adeguate ed efficaci di trattamento
    • dimostrare la conformità al GDPR delle attività di trattamento
    • dimostrare l’efficacia delle misure di sicurezza adottate
    • ricorrere unicamente a responsabili di trattamento che presentino garanzie per attuare adeguate misure tecniche e organizzative
    • assicurarsi che il trattamento eseguito per suo conto dai responsabili soddisfi i requisiti del GDPR e garantisca la tutela dei diritti degli interessati
    • assicurarsi che un responsabile non ricorra a sub-responsabili senza una sua preventiva autorizzazione scritta, generale o specifica
    • assicurarsi di essere informato su sostituzioni o aggiunte di sub-responsabili se l’autorizzazione è generale (per l’esercizio del diritto di opporsi a tali modifiche)
    • disciplinare i trattamenti da affidare ai responsabili con un contratto scritto che vincoli a sè il responsabile e che ne stipuli la materia, le finalità, la natura, le categorie di dati e interessati, la durata del trattamento dei dati personali, nonché, gli obblighi e i diritti del titolare

 

 attenzione: salvo particolari eccezioni (v. il sottotitolo successivo):

se tale contratto mancasse o fosse non conforme, il titolare invierebbe i dati personali di propri interessati ad un terzo non autorizzato, il quale poi, li tratterebbe a sua volta senza una formale legittimazione giuridica 

 

  • imponendo onerosissime sanzioni a carico di chi viola i prescritti obblighi

 

 

IL CONTRATTO ART. 28 DEL GDPR DISCIPLINA CHE COSA?

Tra l’altro, il contratto art. 28 GDPR disciplina i seguenti obblighi del responsabile:

 

  1. trattare i dati personali soltanto su istruzione documentata del titolare anche per trasferimento di dati personali verso un paese terzo o organizzazione internazionale (salvo norme del diritto UE o dello Stato membro del responsabile)
  2. garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza
  3. adottare tutte le misure art. 32 richieste
  4. rispettare le condizioni di cui ai §§ 2 e 4 per ricorrere a un altro responsabile
  5. assistere il titolare con misure tecniche e organizzative adeguate nella misura possibile e tenendo conto della natura del trattamento, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III
  6. assistere il titolare nel garantire il rispetto degli obblighi artt. 32-36 tenendo conto di natura del trattamento e informazioni disponibili
  7. cancellare o restituire i dati al termine dei servizi e dei trattamenti pattuiti e cancellazione di tutte le copie esistenti (salvo obblighi di legge)
  8. mettere a disposizione del titolare:
    • tutte le informazioni che dimostrino il rispetto degli obblighi art. 28
    • piena collaborazione per eventuali ispezioni del titolare o di suoi incaricati
    • eventuali segnalazioni se, a suo parere, una istruzione viola il GDPR o altre norme di protezione dati disposte dal diritto UE o di stati membri

 

Si consideri infine che, per la predisposizione dei contratti art. 28 sono ora disponibili anche le c.d.  “CCS art. 28” , cioè clausole contrattuali standard elaborate dall’EDPB, il Comitato UE della protezione dei dati.

In sostanza quindi, da quanto considerato si comprende che per impiegare responsabili e loro sub-responsabili nel trattamento dei dati personali di propri interessati,  IL TITOLARE HA L’OBBLIGO  di:

  1. stipulare con i responsabili un contratto conforme al GDPR art. 28
  2. vigilare sul ricorso dei responsabili a loro sub-responsabili
  3. assicurarsi in merito al rispetto degli obblighi del GDPR

 

Inoltre, si comprende che  SENZA IL CONTRATTO GDPR ART. 28 :

  1. è sanzionabile il titolare che invia dati personali di propri interessati ad un “responsabile del trattamento” non “vincolato” a sé stesso
  2. ed è sanzionabile pure il responsabile che tratta dati senza il contratto art. 28 e, pertanto, in assenza di una legittima base giuridica di trattamento

 

 

CHE FARE CON CHI E’ RILUTTANTE A SOTTOSCRIVERE IL CONTRATTO ART. 28 DEL GDPR?

Consapevoli della portata dei suddetti obblighi art. 28, in genere i responsabili sono disponibili e collaborano senza particolari problemi con i titolari

 

Ogni tanto però, ci sono responsabili che reagiscono con riluttanza o addirittura non rispondono alle richieste del titolare sugli adempimenti del GDPR

 

Consideriamo  il caso di alcuni dei “colossi mondiali” del web , aziende che offrono e prestano servizi online come, ad es., Office 365 di Microsoft, oppure GMAIL di Google, ecc.

 

Ogni anno tali aziende gestiscono numeri “mondiali” di transazioni online, coordinano complesse strutture dedicate alle applicazioni dei loro servizi e contestualmente trattano i dati di milioni di interessati

 

E’ evidente, perciò, che tali aziende non possono non conoscere le leggi dei Paesi in cui operano, compreso quindi il GDPR dei Paesi UE

 

Perché, allora, alcune di loro non rispondono neppure alle richieste dei titolari sugli obblighi del GDPR art. 28?

E’ possibile che, considerata la schiacciante ingestibilità di un elevatissimo afflusso di contratti e procedure di controllo privacy spesso assai variamente e forse anche estrosamente elaborati, alcune di tali aziende abbiano ritenuto di poter soddisfare la norma del GDPR ricorrendo ad una soluzione più pratica, rappresentata da un atto unilaterale mediante cui loro stessi auto-dichiarano:

  1. le caratteristiche e le proprietà dei loro trattamenti
  2. il loro ruolo di responsabili verso i rispettivi titolari di trattamento
  3. la loro soggezione agli obblighi art. 28 del GDPR

(al riguardo, v. impegni Microsoft, impegni Google, ecc.)

 

Conforta sapere che, con in mente l’obiettivo di un equo bilanciamento degli interessi delle parti, le Autorità garanti della UE hanno vagliato soluzioni del genere e – perché no? – sollevando in alcuni casi, osservazioni, rilievi e richiami (v. ad es. Microsoft e accordi di licenza – i dubbi del Garante UE)

 

Al momento la questione è ancora aperta; comunque, ciò che è successo sino ad ora sul fronte dei “colossi” del web dimostra che:

  1. le istituzioni UE conoscono le difficoltà dei titolari sull’applicazione dell’art. 28
  2. tali responsabili sanno di dover rispondere dei propri obblighi privacy

 

A questo punto, pertanto, forse i titolari potrebbero chiedersi:  la mia accountability dovrebbe indurmi a vedere in tutto questo l’evidenza di una certa liceità operativa e di un certo livello di sicurezza e protezione dei dati? 

Ma consideriamo ora altre due tesi che contrastano con gli obblighi art. 28, e cioè:

  1. ai liberi professionisti non si applica il ruolo di responsabile art. 28
  2. sono inammissibili le istruzioni e i controlli art. 28 dei clienti titolari

 

Nella prima tesi, il ragionamento di fondo sembra essere che in generale, lo status di libero professionista rende inapplicabili gli obblighi art. 28 alle attività e ai servizi professionali che implicano il trattamento di dati personali

 

In realtà, a chi si identifica in questa tesi, sembra sfuggire il fatto che nella figura di uno studio professionale, individuale o associato, spesso coesistono entrambi i ruoli di titolare e responsabile del trattamento

 

Si noti, al riguardo, questa precisazione del Garante ai consulenti del lavoro pubblicata sulla newsletter nr. 449 del 7/2/2019:

  •  sono “titolari”  quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure dei propri clienti … persone fisiche … determinando puntualmente le finalità e i mezzi del trattamento
  •  sono … “responsabili”  quando trattano i dati dei dipendenti di loro clienti sulla base dell’incarico ricevuto … ad esempio … predisposizione delle buste paga … trattando una pluralità di dati personali, anche sensibili

 

In sostanza, quindi,

un professionista (ad es., commercialista, avvocato, ecc.) è sicuramente titolare di trattamento quando tratta i dati personali di un suo cliente persona fisica

 tuttavia, al pari di ogni fornitore di servizi in cui è implicato il trattamento di dati personali degli interessati di un titolare, per l’art. 4 § 8 del GDPR, quando il professionista “tratta dati personali per conto del titolare”, è responsabile del trattamento soggetto agli obblighi art. 28 

 

attenzione: è facilissimo “rientrare” nella nozione di “trattamento”; si noti, al riguardo, ciò che è “trattamento” per il GDPR, art. 4 § 2:

“qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”

 

Riguardo, infine, alla tesi che “sono inammissibili le istruzioni e i controlli art. 28 dei clienti titolari”, sembra di poter dire che è priva di validità e fondamento giuridico

 

Ma in ultima analisi, che deve fare il titolare se un consulente storico continua a non voler sottoscrivere il contratto art. 28 del GDPR?

 E’ l’accountability del titolare a dover analizzare, valutare e decidere cosa fare 

L’analisi potrebbe partire dalla considerazione degli argomenti trattati in questo approfondimento

 

La valutazione, poi, potrebbe avvenire come segue:

  1. analizzare l’art. 28 punto 1 del GDPR e valutare:
    il responsabile soddisfa i requisiti qui richiesti dal GDPR?

  2. analizzare l’art. 28 punto 2 del GDPR e valutare:
    il responsabile soddisfa il requisito qui richiesto dal GDPR?

  3. analizzare l’art. 28 punto 3 del GDPR e valutare:
    il responsabile soddisfa i requisiti qui richiesti dal GDPR?

  4. analizzare l’art. 28 punto 3 lettere “a-h” del GDPR e valutare:
    il responsabile soddisfa i requisiti qui richiesti dal GDPR?

  5. analizzare l’art. 28 punto 4 del GDPR e valutare:
    il responsabile soddisfa i requisiti qui richiesti dal GDPR?

  6. analizzare la notizia sulla sanzione del Garante privacy per l’omessa designazione del responsabile (newsletter n. 474 dell’11/3/2021) e valutare:
    il responsabile riluttante agli obblighi art. 28, come reagisce a tale notizia e al rischio di sanzione privacy che graverebbe sul titolare e sul responsabile?

 

 Se l’esito di una tale verifica è insoddisfacente, allora l’accountability del titolare saprà certamente cosa fare! 

NOTE, RIFERIMENTI E SIGLE:

sigla “GDPR”: si riferisce al Regolamento UE 679/2016 per la protezione dei dati;

citazioni di articoli, commi o paragrafi (simbolo “§”): se non diversamente specificato, si riferiscono al GDPR;

“C1” – “C173”: si riferiscono alle sigle degli utilissimi “Considerando” riportati in premessa del GDPR;

“CCS art. 28”: indica le clausole contrattuali standard per i contratti art. 28 dell’EDPB (Comitato UE di protezione dati);

“dati” o “trattamenti”: se non diversamente specificato, si riferiscono ai dati personali di interessati del titolare;

altri termini: se non spiegati nel contesto, si comprendono con le definizioni ex art. 4 del GDPR, a cui si rimanda.