L’European Data Protection Board (EDPB) ha recentemente pubblicato le attese linee guida Guidelines 07/2020 on the concepts of controller and processor in the GDPR (di seguito “Linee Guida”), sottoposte a consultazione pubblica fino al 19 ottobre 2020. Un documento finalizzato a delineare una volta per tutte il significato dei concetti – e degli annessi compiti oltre che responsabilità – di titolare, responsabile e di tutti gli altri attori che possono essere coinvolti a vario titolo nel trattamento dei dati personali. Nel presente contributo si è scelto di concentrarsi sulla figura del responsabile, mentre in altra sede si approfondirà il ruolo di contitolarità come esplorato dall’EDPB in diverse linee guida sul targeting dei social media.
Tale documento va a sostituire le precedenti Linee guida 1/2010 del Working Party 29 (WP169) , cioè la precedente incarnazione dell’EDPB. Dall’entrata in vigore del GDPR, infatti, sono emersi svariati dubbi afferenti alla corretta definizione dei concetti di titolare e responsabile e i rispettivi ruoli, rispetto alle quali da tempo si avvertiva la necessità di un chiarimento autorevole. Tra queste rilevano, in particolare, le specifiche obbligazioni e i vincoli imposti dall’art. 28 GDPR al responsabile del trattamento nei confronti del titolare. Il presente contributo, lungi dal voler fornire un quadro generale sugli argomenti analizzati dettagliatamente dalle Linee Guida (si veda), si soffermerà sulle osservazioni e sui chiarimenti forniti dall’EDPB a proposito del delicato rapporto intercorrente tra il titolare e il responsabile del trattamento.
Linee guida EDPB: la scelta del responsabile esterno
Uno degli aspetti più critici che ricadono sul titolare del trattamento nel momento in cui decide l’outsourcing una parte delle proprie attività risiede nella scelta del responsabile. Tale onere impone al titolare del trattamento – a mezzo di un idoneo assessment – di servirsi di soggetti in grado di fornire misure di sicurezza tecniche e organizzative adeguate a tutela dei dati degli interessati, oltre ad essere in grado di rispettare le istruzioni fornite. Si tratta, invero, di un’obbligazione continuativa che non si esaurisce all’atto della stipula del contratto di nomina di cui all’art. 28 del GDPR (di seguito “Contratto”), bensì caratterizza tutto il rapporto contrattuale in essere e che impone al titolare di effettuare, ad intervalli periodici, attività di verifica (ad es. tramite audit documentali o ispezioni fisiche, anche a campione) delle garanzie prestate dal secondo.
La valutazione svolta dal titolare, peraltro, costituisce a tutti gli effetti un’analisi del rischio sul responsabile, che per forza di cose dovrà essere condotta caso per caso, prendendo in considerazione vari aspetti quali la natura, lo scopo, il contesto e le finalità del trattamento, così come il know how, l’affidabilità, le risorse e i mezzi a disposizione del responsabile o l’adesione a codici di condotta o meccanismi di certificazione.
Ciò permette anche di comprendere il grado di controllo sul trattamento che il terzo può esercitare e, dunque, se riveste il ruolo di responsabile, titolare autonomo o nessuno di essi. Infatti il rapporto con un fornitore esterno non comporta di per sé un ruolo di responsabile: l’EDPB nelle sue linee guida presenta l’esempio del consulente IT chiamato a sistemare un bug software nei sistemi aziendali. Lo scopo dell’incarico non è quello di far accedere ai dati personali presenti nel sistema IT, è vero che il consulente nello svolgimento del suo compito potrebbe visionarli ma sarebbe un fatto accidentale e limitato, sempre che il titolare adotti misure idonee a prevenire il consulente dal trattamento non autorizzato dei dati. Il consulente, in definitiva, non è responsabile né titolare autonomo, di fatto non trattando dati personali. Lo stesso ragionamento si potrebbe applicare ad es. a una ditta delegata alle pulizie dei locali aziendali.
Il Contratto tra titolare e responsabile nelle Linee Guida dell’EDPB
Le Linee Guida forniscono anche un importante contributo sulle modalità di redazione del Contratto. Il Contratto o altro atto giuridico equivalente deve essere redatto necessariamente in forma scritta o in formato elettronico e deve essere sottoscritto da entrambe le parti. A prescindere dallo strumento giuridico utilizzato, inoltre, l’EDPB rimarca l’importanza sul legame che deve necessariamente instaurarsi tra titolare e responsabile. In particolare, il Contratto deve poter prevedere obbligazioni contrattuali vincolanti, a norma del diritto dell’Unione o degli Stati membri.
Titolare e responsabile, inoltre, prima della stipula dell’accordo, possono scegliere due opzioni: la prima consiste nella negoziazione autonoma del Contratto, mentre la seconda si basa sull’adozione da parte dei contraenti delle clausole contrattuali standard di cui all’art. 28.7 GDPR. Al momento attuale sono state redatte solo dall’autorità di controllo danese, disponibili al pubblico in lingua inglese, oltre a quelle della Commissione Europea tuttora in consultazione pubblica. Possono essere utilizzate come base di partenza a cui aggiungere altre disposizioni? L’EDPB lo consente, purché l’intervento non contraddica il testo standard o comunque riduca la protezione offerta dal testo di partenza.
L’EDPB precisa che quale che sia la strada intrapresa a monte, è in ogni caso indispensabile il rispetto dei requisiti contrattuali previsti dal comma 3 dell’art. 28 GDPR.
L’EDPB, infine, si sofferma su una problematica invalsa nella prassi professionale, ovverosia la stipula di contratti ai sensi art. 28 del GDPR già predefiniti da una delle parti (c.d. contratti standard o condizioni generali di contratto, disciplinati localmente dagli artt. 1341-1342 c.c.). Si considerino ad esempio i colossi big tech che forniscono servizi informatici indispensabili alle imprese e che nel contesto di tali attività figurano quali responsabili del trattamento. A tal proposito, la circostanza che un Contratto venga predefinito unilateralmente dal fornitore non esenta il titolare dalle responsabilità derivanti dal trattamento. Quest’ultimo infatti, rimane sempre responsabile delle clausole e dei termini contrattuali non conformi al dettato del GDPR, per cui dovrà decidere se “prendere o lasciare” quanto predisposto dal responsabile. Si sa che nella prassi ciò può essere difficile da ovviare, a causa di un mercato non sempre generoso circa le alternative offerte, soprattutto quanto ai costi inerenti. Così come l’eventuale modifica in corso di rapporto delle clausole contrattuali dovrà sempre essere notificata e accettata dal titolare.
Si badi che l’EDPB sottolinea il perimetro di responsabilità per la necessaria presenza e vigenza di un contratto tra le parti, a disciplinare il trattamento dei dati: non solo del titolare, bensì anche dello stesso responsabile.
Linee guida EDPB: il contenuto del contratto
Prima di sviscerare tutti i contenuti previsti all’art. 28, c. 3 del GDPR, le Linee Guida fissano un principio di massima che deve essere rispettato nella redazione del Contratto: non potrà limitarsi a fare un copia-incolla generico di quanto previsto dalla normativa comunitaria, bensì dovrà riportare informazioni specifiche e concrete su come i requisiti richiesti dall’art. 28 siano rispettati nel caso concreto. In pratica, le parti sono tenute a redigere il Contratto alla luce della realtà che intendono regolare, della specifica attività di trattamento che il titolare intende affidare al responsabile. Pertanto risulteranno superflue, o addirittura controproducenti, quelle clausole contrattuali che impongono obblighi e procedure stringenti verso il responsabile quando, a monte, non sussiste un rischio rilevante per i diritti degli interessati.
Le Linea guida forniscono importanti precisazioni anche per quanto riguarda i singoli elementi che devono essere presenti nel Contratto e nello specifico:
- l’oggetto del Contratto deve essere sufficientemente specifico, in modo tale che sia chiaro quale sia il trattamento svolto (ad es. un’attività di videosorveglianza a protezione di una struttura di massima sicurezza);
- deve essere specificata la durata del trattamento o quantomeno i criteri per determinarla;
- la natura e la finalità del trattamento devono essere descritte in modo comprensibile e chiaro anche per un soggetto terzo rispetto alle parti;
- il tipo di dati personali trattati deve essere specificato in maniera dettagliata, non limitandosi a riportare banalmente macrocategorie come “dati comuni” o “dati particolari”, ma definendo in particolare la tipologia dei dati (ad es. dati finanziari, dati relativi alla salute, appartenenza sindacale, ecc.);
- per le categorie di interessati vale la stessa impostazione prevista per il tipo di dati personali (ad es. visitatori, dipendenti, fornitori, ecc.);
- gli obblighi e i diritti del titolare implicano ad es. l’onere di fornire al responsabile i dati previsti nel Contratto, documentare le istruzioni fornite al responsabile funzionali al trattamento, garantire la compliance al GDPR da parte del responsabile anche tramite audit o ispezioni fisiche presso la sede del responsabile.
Oltre ai contenuti di carattere generale, le Linee Guida forniscono indicazioni utili anche per quanto riguarda i requisiti specifici di cui al comma 3 dell’art. art. 28 GDPR, che possiamo analizzare singolarmente:
Le istruzioni documentate del titolare – lett. a)
Il titolare è tenuto a fornire al responsabile le istruzioni necessarie al trattamento oggetto del Contratto, che devono essere documentate. A tal fine Le Linee Guida raccomandano espressamente di includere al Contratto un allegato che dia conto in modo specifico tramite procedure o template delle istruzioni che il responsabile è tenuto a rispettare. Il responsabile, peraltro, è tenuto al rispetto di tali indicazioni quando intende trasferire i dati personali verso un paese terzo o un’organizzazione internazionale; per tale ragione è raccomandabile che il Contratto specifichi i requisiti necessari per legittimare il trasferimento. È raccomandato anche prevedere nel Contratto una procedura e un modello per fornire eventuali nuove istruzioni, in ogni caso documentate per iscritto e annesse al Contratto.
L’obbligo di riservatezza per gli autorizzati – lett. b)
Il Contratto deve necessariamente prevedere un generale obbligo di riservatezza a carico dei soggetti autorizzati dal responsabile al trattamento. La fonte di tale obbligo può essere contrattuale o può basarsi su un obbligo legale di riservatezza già in essere. All’interno della definizione di autorizzati rientrano tutti i dipendenti del responsabile, i quali devono poter essere messi nella condizione di trattare solo i dati funzionali all’attività concretamente svolta.
Le misure di sicurezza ai sensi dell’art. 32 del GDPR – lett. c)
L’art. 32 del GDPR impone al titolare e al responsabile del trattamento l’obbligo di implementare appropriate misure di sicurezza tecniche ed organizzative. Per rendere effettiva questa previsione, il Contratto non può limitarsi a ribadire pedissequamente il dettato normativo, ma deve includere una descrizione precisa e completa delle misure che si intendono adottare. Il livello di dettaglio delle misure di sicurezza dipenderà inoltre dall’analisi del caso concreto alla luce, basata sulla preventiva analisi dei rischi. Per facilitare il lavoro ed alleggerire il documento finali, le Linee Guida consigliano di predisporre le misure di sicurezza come allegato al Contratto.
La nomina del sub-responsabile – lett. d)
Il Contratto deve necessariamente specificare il divieto per il responsabile di fare ricorso a un altro responsabile senza una previa autorizzazione scritta da parte del titolare, che può essere specifica o generale. In caso di autorizzazione specifica, deve essere individuato il sub-responsabile nonché le specifiche attività di trattamento oggetto del Contratto. Il silenzio da parte del titolare verso una richiesta di autorizzazione del responsabile sarà da intendersi quale rifiuto (silenzio-diniego). L’autorizzazione generale, al contrario, impone al responsabile di informare in anticipo il titolare di eventuali modifiche relative all’aggiunta o sostituzione di altri sub responsabili, dando in tal modo la possibilità al titolare di opporsi a tali modifiche (silenzio-assenso), alla luce di criteri valutabili (es. risorse, affidabilità, esperienza, ecc.). Il responsabile, in definitiva, dovrebbe fornire una lista dei propri sub-responsabili, specificando la sede, le attività, comprova delle misure di salvaguardia implementate.
Il supporto nella gestione delle richieste degli interessati – lett. e)
Incombe sul responsabile anche l’onere di supportare il titolare, nella misura in cui ciò sia opportuno e possibile, nella gestione delle richieste degli interessati. Le modalità in cui questa attività si esplica dovranno essere predefinite nel Contratto e dipenderanno dalla natura del trattamento e dalla tipologia di attività affidata al responsabile. Ad es. il responsabile può limitarsi a inoltrare le email contenenti le richieste degli interessati al titolare oppure possono essere individuati oneri più gravosi quando sia tenuto a gestire grandi quantità di dati personali per conto del titolare.
Il supporto nel garantire il rispetto degli obblighi di cui agli artt. 32 e 36 del GDPR – lett. f)
Anche in questo caso le Linee Guida impongono alle parti il divieto di replicare il dettato normativo, posto che il Contratto dovrà necessariamente dettagliare le modalità con le quali il responsabile dovrà supportare il titolare. A tal fine può essere utile predisporre documenti ulteriori da allegare al Contratto con tutte le informazioni necessarie.
Nello specifico, gli obblighi in oggetto consistono, in primis, nell’implementazione di quelle misure tecniche e organizzative a tutela della sicurezza del trattamento che viene svolto per conto del titolare.
In secondo luogo, il responsabile assiste il titolare qualora dovesse sorgere l’obbligo di notifica di una violazione dei dati personali (di seguito data breach) all’autorità competente e/o agli interessati. In presenza di un data breach accertato, dunque, il responsabile è tenuto a effettuare la notifica senza giustificato ritardo e supportare il titolare nel raccogliere tutte quelle informazioni rilevanti funzionali alla corretta comunicazione all’autorità competente. Sul punto le Linee Guida raccomandano le parti di definire direttamente nel Contratto il tempo massimo a disposizione del responsabile per effettuare la notifica al titolare (ad es. indicando il numero di ore) e di specificare le modalità con le quali deve essere svolta.
Infine, il responsabile deve assistere il titolare nello svolgimento della valutazione d’impatto se richiesta e dell’eventuale e successiva consultazione all’autorità competente ai sensi dell’art. 36 GDPR. Questo dovere di assistenza, tuttavia, non presuppone alcun mutamento di responsabilità, posto che l’onere di condurre tali attività rimane in capo al titolare.
La cancellazione dei dati oggetto del Contratto – lett. g)
La scelta relativa alla cancellazione dei dati oggetto del Contratto al termine della relativa durata è rimessa all’autonomia contrattuale del titolare, il quale può in alternativa imporre al responsabile la restituzione dei dati personali. In ogni caso il titolare deve comunicare la scelta entro un congruo termine per iscritto.
La compliance all’art. 28 del GDPR – lett. h)
Il Contratto infine dovrebbe descrivere anche il flusso dei dati che avviene tra il responsabile e il titolare. Il responsabile dovrebbe fornire al titolare tutte quelle informazioni relative alle modalità di trattamento che viene svolto per conto del titolare, ad esempio quali sono i sistemi informativi utilizzati, le misure di sicurezza, il periodo di conservazione dei dati, la localizzazione dei dati, il trasferimento dei dati, i sub-fornitori impiegati, ecc.
Le istruzioni del titolare in contrasto con il GDPR
Il responsabile del trattamento è tenuto a adeguarsi alle istruzioni fornite dal titolare, ma allo stesso tempo ha un obbligo generale al rispetto della legge. Pertanto, in presenza di istruzioni chiaramente in contrasto con il dettato normativo del GDPR, sorge in capo al responsabile un obbligo di notifica al titolare del trattamento. Al fine di evitare spiacevoli inconvenienti, le Linee Guida, sul punto, raccomandando alle parti di specificare nel Contratto le conseguenze di un eventuale silenzio da parte del titolare in presenza di istruzioni illecite al responsabile, giustificando anche un recesso unilaterale contrattuale.
Conclusioni
A questo punto dovrebbe essere chiaro come le linee guida si vogliano porre quale ulteriore requisito prescrittivo circa il rapporto con i responsabili, sostanzialmente aggiungendo e specificando quanto previsto dal testo normativo del GDPR. Non scordiamo che – seppure in maniera discutibile e per ora isolata – vi è già stata una pronuncia giudiziaria che ha riconosciuto alle pronunce del WP29 (di conseguenza, anche del conseguente EDPB) un valore di “interpretazione autentica” del testo normativo. Si veda quanto scritto sulla sentenza n. 1468/2019 del Tar Puglia – Sez. Lecce.
Detto questo, i titolari – ma anche i responsabili, soprattutto se adottano un proprio modello “massivo” standardizzato di contratto – dovrebbero vagliare la contrattualistica fin qui dedicata al rapporto con esterni, sia che si tratti di propri eventuali modelli che di contratti già sottoscritti con i correnti responsabili. Tutti i requisiti elucidati dall’EDPB dovranno costituire una sorta di check-list con cui radiografare, in ultima analisi, i trattamenti e i contratti posti in essere, partendo dal Registro dei trattamenti per comprendere dove intervenire prioritariamente (non scordiamo l’approccio risk based del GDPR che deve comportare una progressiva attenzione e proattività verso i punti di maggiore criticità per diritti e libertà degli interessati). Molto dipenderà dal settore di riferimento, è facile in ogni caso che si debba provvedere quanto ai fornitori IT (dal cloud all’email), a call center esterni e agenzie marketing, ecc.