Il titolare del trattamento deve redigere un atto di nomina a responsabile qualora si avvalga dell’operato di un soggetto per compiere una o più delle attività di trattamento di dati personali. Prima di capire come scrivere una buona nomina a responsabile del trattamento, vediamo chi è il titolare del trattamento e chi può rivestire il ruolo di responsabile del trattamento.
Chi è il titolare del trattamento
Il Regolamento UE 679/2016 (di seguito anche chiamato per brevità “GDPR”) definisce “titolare” del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento”.
Come da ultimo precisato nelle Linee guida 07/2020 dell’EDPB, per stabilire se un soggetto ricopra il ruolo di titolare del trattamento è necessario valutare, da un punto di vista fattuale, la sua capacità di determinare fini e mezzi impiegati nelle attività di trattamento, ossia la sua capacità decisionale.
In particolare, si segnala che tale autonomia decisionale può derivare da una norma di rango primario o secondario che:
- contenga un’attribuzione esplicita in tal senso;
- disciplini i criteri per procedere all’assegnazione del ruolo; oppure
- stabilisca un mero compito o imponga ad un determinato soggetto di raccogliere e trattare determinati dati.
Pertanto, ciò che consente di qualificare un soggetto quale titolare del trattamento è il potere in concreto di stabilire finalità e mezzi dei trattamenti di dati personali dallo stesso effettuati.
Chi è il responsabile del trattamento
Per responsabile del trattamento si intende “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, n. 8, del GDPR). Il responsabile è, pertanto, un soggetto che, su nomina del titolare del trattamento, è preposto al trattamento dei dati personali.
Ai sensi dell’art. 28, paragrafo 1, del GDPR “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”. Il responsabile deve, quindi, assicurare adeguate garanzie in termine di protezione dei dati personali.
Il paragrafo 3 del sopracitato articolo 28 specifica che “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”. Il responsabile, con atto di nomina, è preposto allo svolgimento di determinate attività di trattamento e/o erogazione di specifici servizi.
Pertanto, un titolare del trattamento può commissionare a, e/o avvalersi del supporto di, soggetti terzi ai fini della realizzazione di determinate attività di trattamento riguardanti i dati personali che allo stesso fanno capo, qualora da solo non riesca a portare a compimento tali attività. In questa eventualità, tali soggetti terzi tratteranno i dati personali per conto del titolare del trattamento e dovranno essere da quest’ultimo nominati come responsabili del trattamento ex art. 28 del GDPR
Quando redigere una nomina a responsabile del trattamento
Prima di capire come scrivere una buona nomina a responsabile del trattamento, capiamo bene cosa si intende per dato personale e per trattamento al fine di stabilire quando si pone in essere un’attività di trattamento che qualifichi il soggetto che la effettua quale responsabile del trattamento dei dati personali, e renda per l’effetto necessario redigere l’atto di nomina ai sensi dell’art. 28 del GDPR. .
- L’art. 4, n. 1, del GDPR definisce “dato personale” qualsiasi informazione riguardante una persona fisica identificata o identificabile, precisando che “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
- L’art. 4, n. 2, del GDPR, definisce “trattamento” qualsiasi operazione “compiuta con o senza l’ausilio di processi automatizzati e applicata a dati personali come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
In definitiva, il titolare deve redigere un atto di nomina qualora si avvalga dell’operato di un soggetto per compiere una o più delle attività di trattamento – sopra definite – di dati personali.
Quali gli elementi essenziali dell’atto di nomina
Il GDPR stabilisce che l’atto di nomina deve essere redatto in forma scritta (anche in formato elettronico) e individua gli elementi essenziali che lo stesso deve contenere, ossia – tra gli altri:
- natura, durata e finalità del trattamento assegnato;
- categorie di dati oggetto del trattamento e degli interessati coinvolti;
- misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare;
- tutte le altre disposizioni contenute nel GDPR.
In particolare, l’art. 28 del GDPR contiene la seguente elencazione tassativa di tutti gli elementi che devono essere disciplinati nell’atto di nomina del responsabile:
- trattare i dati personali solo sulla base di un’istruzione documentata del titolare del trattamento;
- garantire che i soggetti autorizzati al trattamento dei dati personali si siano impegnati alla riservatezza o abbiano un adeguato obbligo legale di riservatezza a mezzo di specifica nomina;
- adottare tutte le misure tecniche e organizzative necessarie per garantire un livello di sicurezza adeguato al rischio;
- rispettare le istruzioni impartite dal titolare anche nel caso di nomina di un sub-responsabile. A tal riguardo, il GDPR precisa che il responsabile può procedere alla nomina di un sub-responsabile solo previa autorizzazione scritta del titolare del trattamento, e che, in ogni caso, il responsabile del trattamento risponderà dinanzi a quest’ultimo degli inadempimenti del sub- responsabile;
- assistere il titolare al fine di soddisfare l’obbligo di dare seguito alle richieste di esercizio dei diritti dell’interessato;
- assistere il titolare del trattamento nel garantire il rispetto degli obblighi in materia di tutela della sicurezza dei dati;
- cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento, nonché cancellare le eventuali copie esistenti attestando formalmente l’avvenuta cancellazione e/o restituzione degli stessi;
- mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto dei suoi obblighi, nonché contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da questo incaricato;
- informare immediatamente il titolare del trattamento ove ritenga che un’istruzione violi il Regolamento, o altre disposizioni anche europee, relative alla protezione dei dati personali.
Il GDPR prescrive, inoltre, che il responsabile del trattamento deve tenere un registro delle attività di trattamento ai sensi dell’articolo 30, svolti per conto del titolare del trattamento, e che, ove non stabilito nell’Unione Europea, deve designare un suo rappresentante in uno degli Stati membri dell’Unione Europea.
In quali casi prevedere ulteriori garanzie nella nomina
In casi specifici è opportuno rafforzare l’atto di nomina a responsabile del trattamento per prevedere maggiori tutele in relazione alle attività di trattamento dei dati personali effettuate.
Si riportano di seguito due casi in cui sicuramente è necessaria tale integrazione:
- quando il responsabile è stabilito al di fuori del SEE (ossia UE + Norvegia, Liechtenstein e Islanda) e la relativa normativa nazionale di riferimento non presta garanzie adeguate in termini di protezione dei dati personali;
- quando vi è un trattamento di dati personali su larga scala (es. tanti interessati e/o tanti dati personali).
Passiamo ad esaminare la prima fattispecie. Se il soggetto terzo selezionato dal titolare come responsabile del trattamento ha sede al di fuori del SEE e, nello specifico, in un Paese non ricompreso nella c.d. “White list” stilata e costantemente aggiornata dalla Commissione europea sulla base delle decisioni di adeguatezza sulla protezione dei dati personali ex art. 45 del GDPR dalla stessa pubblicate, è consigliabile integrare l’atto di nomina aggiungendo ad esso le c.d. “Standard contractual clauses” o “SCC” che prevedono maggiori garanzie per le parti proprio in merito al trasferimento di dati personali durante l’esecuzione delle attività di trattamento.
La seconda fattispecie riguarda la casistica in cui il soggetto terzo selezionato dal titolare come responsabile del trattamento è preposto allo svolgimento di attività o all’erogazione di servizi che comportano un trattamento di dati personali su larga scala. In tali casi, e a maggior ragione se il trattamento dei dati personali riguardi categorie di dati particolari, è consigliabile integrare il relativo atto come di seguito indicato:
- disciplinare in maniera puntuale le modalità di svolgimento di audit atti a verificare che il responsabile rispetti le istruzioni impartite dal titolare;
- esigere la stipula di una adeguata polizza assicurativa per i rischi correlati alla c.d. Cyber liability;
- richiedere la presentazione della valutazione d’impatto sulla protezione dei dati personali effettuata dal soggetto terzo selezionato per le attività di trattamento dallo stesso poste in essere al fine di valutare le misure di sicurezza adottate.
Resta inteso che tali previsioni a garanzia della protezione dei dati personali possono essere sempre incluse negli atti di nomina, ove ritenuto necessario.