Regolamento - 27/04/2016 - n. 679 art. 28 - Responsabile del trattamento

Nozione di responsabile

Distinzione tra titolare e responsabile del trattamento

Il responsabile del trattamento è definito dall'art. 4, n. 8) GDPR come la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Elementi distintivi della figura sono quindi i seguenti: l'essere un soggetto distinto dal titolare e il trattare dati per conto di quest'ultimo.

Con riferimento al primo aspetto, “entità separata” significa che il titolare del trattamento decide di delegare tutto o parte delle attività di trattamento dei dati personali ad una organizzazione esterna. In un gruppo societario una delle società può svolgere il ruolo di responsabile per conto dell'altra, dal momento che sono entità separate, mentre non potrà dirsi lo stesso per i distinti dipartimenti o direzioni all'interno di una medesima società (EDPB, LG 7/2020, punto 75).

Con riferimento al secondo aspetto, il trattare dati “per conto” del titolare del trattamento implica l'agire per il suo interesse, secondo le sue istruzioni, sulla base del concetto di delega (EDPB, LG 7/2020, punto 82).

Per quanto riguarda la distinzione tra responsabile e titolare, si rimanda alle considerazioni già svolte in merito alla figura del titolare nel commento all'art. 26 GDPR, nonché alle interpretazioni elaborate dall'EDPB ed ivi citate. In generale, si ribadisce in questa sede che elemento distintivo della figura del titolare è la definizione delle finalità e dei mezzi del trattamento, laddove per finalità deve intendersi l'obiettivo per il quale è effettuato il trattamento, mentre per mezzi, devono intendersi non solo gli strumenti, ma anche la modalità e la logica del trattamento, sotto un profilo organizzativo.

Entrambi gli elementi sono posti su un piano di equipollenza, ma, nel caso in cui la decisione su finalità e mezzi non coesista nello stesso soggetto, si riconosce un'importanza preminente alla definizione delle finalità rispetto a quella dei mezzi. Se quindi un soggetto determina le finalità, gli è sicuramente attribuita la qualifica di titolare, mentre se determina i mezzi si dovrà valutare caso per caso. Il titolare potrebbe infatti, una volta determinata la finalità, decidere di delegare ad un terzo la definizione di aspetti tecnici secondari e funzionali per il raggiungimento della stessa (in tal caso il terzo, pur prendendo decisioni, non assume il ruolo di titolare) oppure potrebbe verificarsi la situazione per cui il soggetto delegato determina aspetti fondamentali del trattamento, configurandosi come titolare. A seconda del diverso livello di coinvolgimento nella definizione di finalità e mezzi, il soggetto può quindi configurarsi quale titolare o responsabile. Ad esempio, è chiaro che un fornitore di servizi di hosting o di manutenzione di sistemi informatici che si limiti a conservare i dati o a manutenere il sistema alle condizioni dettate dal titolare (per una finalità propria del titolare) si configurerà quale responsabile del trattamento, dal momento che svolge funzioni esecutive. Diversamente, nel caso di un consulente tecnico che, pur svolgendo l'incarico per conto del giudice per finalità da questi determinate, abbia piena autonomia nel decidere i mezzi del trattamento, il rapporto con i dati dovrà essere definito in termini di titolarità autonoma. I confini, nell'applicazione pratica, spesso non risultano nitidi (Pelino, 119 ss.).

A tal fine, l'EDPB sottolinea che il ruolo di responsabile “non deriva dalla natura dell'entità che tratta i dati ma dalle sue attività concrete in uno specifico contesto”. In tal senso, la stessa entità può intervenire come titolare per certi trattamenti e come responsabile per altri e la qualifica deve essere valutata con riferimento a specifici insiemi di operazioni (EDPB, LG 7/2020, punto 26).

Di conseguenza, l'eventuale definizione dei ruoli operata contrattualmente dalle parti ha un mero valore presuntivo dei ruoli effettivi e sostanziali. Il fatto che ad esempio un provider specializzato in certi servizi utilizzi modelli standard di contratti da far sottoscrivere ai titolari, predefinendo i rapporti in modo dettagliato nelle condizioni generali di contratto, non esclude di per sé la sua qualifica di responsabile, posto che comunque il titolare aderisce a tali condizioni facendole proprie ed accettando la responsabilità che ne consegue (EDPB, LG 7/2020, punto 30).

Alcuni criteri che, a parere di chi scrive, possono guidare l'interprete nel determinare la qualifica dei vari soggetti coinvolti nella catena dei trattamenti di dati personali sono i seguenti: il livello di istruzioni preliminari del titolare del trattamento (ed il conseguente margine di autonomia dei responsabili); l'immagine e la visibilità data all'esterno, ed il conseguente legittimo affidamento degli interessati (si pensi, ad esempio, ad un call center che spenda il nome del titolare per cui opera, agendo in qualità di responsabile);la conoscenza specializzata delle parti.

Altro elemento fondamentale è il controllo da parte del titolare in relazione all'esecuzione del servizio. Con riferimento a tale aspetto, si consideri che il controllo non dovrà comunque violare il diritto del responsabile al segreto industriale e al know how. Il potere di verifica si caratterizzerà quindi per il fatto che al titolare sarà riservato un “coefficiente di trasparenza rispetto alla gestione delle attività di trattamento delegate, anche qualora questa trasparenza sia permessa in seguito all'intervento di terze parti fidate, come per esempio un certificatore o una società specializzata in servizi di audit” (Pelino, 130).

Appare di interesse la considerazione dell'EDPB in merito alla natura del servizio prestato. Al punto 82 delle linee guida viene infatti precisato che, se il servizio offerto non è centrato sul trattamento di dati personali o non vede il trattamento di dati personali come elemento chiave, il fornitore del servizio potrebbe essere nella posizione di determinare in modo autonomo le finalità ed i mezzi del trattamento che sono necessari per fornire il servizio. In tali situazioni il service provider deve essere considerato come un titolare autonomo e non come un responsabile del trattamento. In particolare l'EDPB fa l'esempio del servizio taxi: se una società di taxi offre un servizio di prenotazione tramite una piattaforma (in cui la società cliente può inserire il nome del dipendente che usufruirà del servizio) il fornitore tratta i dati personali dei dipendenti del cliente come parte del servizio, ma tale attività di trattamento non è la parte essenziale del servizio. Infatti la piattaforma è sviluppata dal fornitore del servizio taxi autonomamente, al fine di migliorare il suo servizio taxi, e non su istruzioni della società cliente. Inoltre, il fornitore del servizio taxi decide autonomamente le categorie di dati da raccogliere tramite la piattaforma, il tempo di conservazione e gli altri elementi fondamentali del trattamento. In questo caso, l'EDPB conclude per la qualifica del fornitore come titolare autonomo, nonostante il trattamento di dati consegua ad una richiesta da parte della società cliente.

Allo stesso tempo, però, l'EDPB fa presente che un fornitore di servizi può agire in qualità di responsabile del trattamento anche qualora il trattamento di dati non sia l'oggetto primario del servizio, allorché il cliente determini le finalità ed i mezzi del trattamento. Un esempio interessante è quello del fornitore di servizi IT: qualora una società si rivolga ad un fornitore per una generica assistenza IT sui propri sistemi, che contengono un grande ammontare di dati personali, l'accesso ai dai personali non è l'oggetto principale del servizio, ma è inevitabile che il fornitore abbia un accesso sistematico ai dati nello svolgimento dello stesso. In questo caso, il fornitore dovrà essere designato quale responsabile del trattamento.

Diversa invece l'ipotesi, sempre indicata dall'EDPB, in cui la società si rivolga ad uno specialista IT per risolvere una specifica problematica o “bug” in un software: lo specialista non è contrattato per trattare dati personali e l'accesso ai dati sarebbe puramente accidentale. In tal caso, lo specialista IT non è da considerarsi un responsabile del trattamento e la società dovrà porre in essere misure adeguate al fine di prevenire l'accesso o il trattamento non autorizzato dei dati.

Superamento della teoria del Responsabile interno

La definizione introdotta dall'art. 4 GDPRsi discosta da quella previgente del Codice privacy A-R per cui il responsabile era identificato come la persona fisica o giuridica, la pubblica amministrazione e qualsiasi altro ente “preposti dal titolare” al trattamento dei dati personali.

La vecchia formulazione della norma aveva reso possibile, in Italia, la prassi applicativa di prevedere la figura, non definita normativamente, dei “responsabili interni”: erano considerati tali i soggetti facenti parte dell'organizzazione (dipendenti, collaboratori, uffici e ripartizioni interne) a cui venivano affidati compiti specifici in materia di tutela dei dati personali, con margini di determinazione autonoma di modalità e mezzi del trattamento, pur nel rispetto delle finalità stabilite dal titolare, e spesso muniti anche di poteri verso l'esterno.

Con l'entrata in vigore del Regolamento, si è ritenuto che tale figura fosse “del tutto incompatibile” con la nuova normativa (Pizzetti, cit.): da un lato, in quanto l'art. 29 GDPR sembra distinguere nettamente il personale dipendente (autorizzato al trattamento) rispetto a titolare e responsabile; in secondo luogo, in considerazione del fatto che gli obblighi previsti dallo stesso art. 28 GDPR per il responsabile del trattamento sono costruiti pensando a soggetti esterni all'organizzazione (si pensi, ad esempio, al registro dei trattamenti o alla nomina del Responsabile della protezione dei dati, obblighi che certo non potrebbero essere assolti da un dipendente o un collaboratore del titolare; ovvero agli obblighi dell'art. 28 di cancellare o restituire i dati al termine del rapporto, di garantire la riservatezza dei propri dipendenti e collaboratori, di consentire le attività di controllo e ispezione) (Salvati, Scorza, 149).

Posto che il Regolamento ha eliminato il riferimento al concetto della preposizione da parte del titolare e ha valorizzato, come si è visto, il fatto di servire gli interessi del titolare agendo per suo conto, attualmente è pacifico che “il responsabile come figura distinta e diversa dal titolare come regolata dall'art. 28 del GDPR può essere solo una figura esterna, distinta e separata dall'organizzazione del titolare, come del resto fin dal 2010 aveva ben chiarito il Working Party 29 nella sua Opinion” (Pizzetti, cit.).

A parere della scrivente sulla questione sembrano porre un sigillo le linee guida dell'EDPB, che escludono che i dipendenti del titolare del trattamento possano essere considerati responsabili (cfr. EDPB, LG 7/2020, punto 78: “Se il titolare del trattamento decide di trattare direttamente i dati utilizzando le proprie risorse interne, ad esempio attraverso il proprio personale, non vi sono responsabili del trattamento. I dipendenti e le altre persone che agiscono sotto l'autorità diretta del titolare del trattamento, come il personale assunto temporaneamente, non vanno considerati responsabili del trattamento poiché trattano dati personali in quanto parte della struttura del titolare del trattamento. Conformemente all'articolo 29, essi sono altresì vincolati dalle istruzioni del suddetto titolare”.

I soggetti che operano sotto l'autorità del titolare del trattamento potranno quindi attualmente essere indicati quali “delegati” o “designati” in conformità all'art. 2-quaterdecies del d.lgs. n. 196/2003, introdotto dal d.lgs. n. 101/2018, che ha espressamente disciplinato l'attribuzione di funzioni e compiti a soggetti designati, prevedendo una figura che appunto corrisponde, nella sostanza, ai precedenti responsabili interni.

Tipizzazione di alcune ipotesi di rapporto titolare-responsabile

In considerazione delle difficoltà che si incontrano nel qualificare esattamente i vari soggetti che intervengono nelle operazioni di trattamento, appare utile fornire una serie di esempi e di tipizzazioni di rapporti titolare-responsabile, senza alcuna pretesa di esaustività e limitandosi ai casi ritenuti di maggiore interesse.

Alcune ipotesi di rapporti sono state chiarite dal Garante per la protezione dei dati personali nei suoi provvedimenti. Ad esempio, nei gruppi di imprese generalmente le singole società hanno distinta e autonoma titolarità in merito ai dati personali dei propri dipendenti e collaboratori. Tuttavia, ove la società capogruppo svolga, su mandato delle società controllate, adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori, deve essere designata responsabile del trattamento (GPDP, 23 novembre 2006 [doc. web n. 1364099], Linee guida per il trattamento di dati di dipendenti privati).

Si configura inoltre senz'altro come responsabile il fornitore di servizi di localizzazione geografica (GPDP, 4 ottobre 2011 [web n. 1850581], Provvedimento di carattere generale in materia di localizzazione dei veicoli nell'ambito del rapporto di lavoro), nonché il fornitore di servizi di posta elettronica (GPDP 22 dicembre 2016, n. 547 [web n. 5958296]) e quello di servizi di televigilanza (GPDP 4 dicembre 2014, n. 559 [web n. 3671057]).

Un esempio analizzato dall'EDPB è quello dell'avvocato, con riferimento ai dati trattati relativamente al caso del cliente. In questa ipotesi la base giuridica è rappresentata dal mandato conferito, che tuttavia si riferisce solo all'attività di rappresentanza in giudizio, e non al trattamento dei dati personali che ne consegue, per il quale l'avvocato è autonomo nella decisione di mezzi e finalità. Gli avvocati si qualificano quindi come titolari autonomi per quanto riguarda il trattamento di dati personali svolto nell'ambito dell'attività di rappresentanza giudiziale (EDPB, LG 7/2020, pp. 12-13).

Diverso il caso in cui si presti attività di consulenza, al di fuori di un mandato per la rappresentanza in giudizio. Spesso infatti tali consulenze si configurano come una prestazione di servizi resa da studi legali o società, che comportano il trattamento di dati per conto del titolare (si pensi alla stessa consulenza in materia di privacy, ove comporti anche attività di trattamento dei dati dei dipendenti, ad esempio per la predisposizione delle designazioni e autorizzazioni ai sensi dell'art. 2-quaterdecies cod. privacy). In tali ipotesi, a parere di chi scrive, anche l'avvocato potrà configurarsi quale responsabile ai sensi dell'art. 28 GDPR e dovrà ricevere apposita designazione. Peraltro, la possibilità che l'avvocato possa rivestire la qualifica di responsabile allorché gli venga richiesta una consulenza da parte di un soggetto titolare è riconosciuta dallo stesso Consiglio Nazionale Forense (il GDPR e l'avvocato, in consiglionazionaleforense.it).

Altro esempio di rapporto titolare-responsabile evidenziato dalle linee guida è quello relativo ai fornitori di servizi di telecomunicazione. Infatti, il fornitore di tali servizi deve essere considerato un titolare del trattamento per quanto riguarda il trattamento dei dati personali necessari per il funzionamento del servizio in quanto tale (ad esempio, i dati sul traffico e sulla fatturazione), mentre si qualifica come responsabile del trattamento per quanto riguarda i dati personali contenuti nei messaggi trasmessi (e rispetto ai quali è titolare del trattamento il mittente).

Analogamente è da designare come responsabile del trattamento il fornitore di servizi di call center che gestisca per conto di terzi le relazioni con i clienti (inclusi dati identificativi, dati di contatto, dettagli di acquisti) mediante la propria infrastruttura informatica. Nell'esempio proposto dall'EDPB, il cliente conferisce l'incarico dopo aver valutato che le misure di sicurezza tecniche e organizzative proposte dal call center siano adeguate ai rischi, senza tuttavia fornire indicazioni per quanto riguarda il software specifico da utilizzare né istruzioni dettagliate sulle misure di sicurezza specifiche da attuare. Ciononostante rimane il Titolare del trattamento, anche se il fornitore del call center ha determinato alcuni mezzi (non essenziali) del trattamento.

Per quanto riguarda, invece, le ricerche di mercato, l'EDPB distingue due diverse ipotesi. Nel caso in cui l'agenzia di ricerche di mercato abbia raccolto in modo autonomo informazioni sugli interessi dei consumatori,li abbia analizzati in modo indipendente (con la propria metodologia e senza ricevere alcuna istruzione dai clienti) e fornisca alle società clienti dati statistici, senza ricevere ulteriori istruzioni su quali dati personali debbano essere trattati o come trattarli per generare le statistiche, allora l'agenzia agisce quale titolare autonomo del trattamento. Infatti elabora i dati personali per i propri scopi di ricerca di mercato e determina autonomamente i mezzi per farlo. Qualora, invece, la società cliente dia istruzioni sul tipo di informazioni a cui è interessata e fornisca un elenco di domande da porre a coloro che partecipano alla ricerca di mercato, allora sarà considerata titolare del trattamento. E ciò anche nel caso in cui riceva dall'agenzia solo statistiche (ad esempio, le tendenze di consumo per regione) e non abbia accesso ai dati personali stessi. Ciò che viene valorizzato, infatti, è che la società abbia dato avvio al trattamento, decidendolo, che il trattamento sia effettuato per la sua finalità e che siano fornite all'agenzia istruzioni dettagliate su quali informazioni raccogliere.

La suddetta interpretazione, per cui l'agenzia che fornisce le ricerche di mercato sarebbe un mero responsabile del trattamento, ad avviso di scrive rischia, nei fatti, di ridurre la tutela degli interessati, posto che de-responsabilizza il provider, che ha il controllo dei dati, a discapito di un cliente che a quei dati nemmeno accede. Inoltre, sembra che l'EDPB non consideri l'ipotesi più diffusa nella prassi, ovvero quella per cui l'agenzia pubblicitaria detiene un proprio data base di utenti o “panelists” a cui sottopone questionari elaborati d'accordo con diversi clienti. Ci si domanda infatti se, in tal caso, sia necessario prevedere una duplice qualificazione dell'agenzia (titolare dei dati dei propri utenti e responsabile per le risposte alla specifica indagine di mercato sottoposta dal cliente) oppure se non sarebbe più corretta un'allocazione di ruoli in termini di contitolarità, trattandosi di decisione che effettivamente viene presa congiuntamente (peraltro, tale esempio appare analogo a quello dei data base gestiti da head hunter per cui, invece, l'EDPB è costante nell'indicare un'ipotesi di contitolarità).

Per i trattamenti di dati personali posti in essere dal contabile, l'EDPB distingue due diverse ipotesi: nel caso in cui la società svolga servizi di audit e revisione disciplinati dalla legge, determinato in autonomia finalità e mezzi delle attività di trattamento, che sono parte essenziale dei servizi contabili offerti, allora lo stesso agisce in qualità di titolare; se invece la legge non prevede obbligazioni specifiche e la società cliente fornisce istruzioni molto dettagliate, allora il fornitore del servizio dovrà essere designato come responsabile del trattamento (EDPB, LG 7/2020, punto 40).

Ipotesi controversa in passato era quella della qualificazione dell'Organismo di Vigilanza (“OdV”), istituto ai sensi del d.lgs. n. 231/2001, con riferimento ai dati trattati nell'ambito delle attività di controllo, dei flussi informativi stabiliti dal modello di organizzazione gestione e controllo istituito ai sensi del decreto medesimo (modello organizzativo) e delle segnalazioni di condotte illecite da parte dei destinatari di tale modello.

Una parte della dottrina lo configurava quale titolare autonomo, in considerazione del fatto che l'art. 6 d.lgs. n. 231/2001 gli conferisce autonomi poteri di iniziativa e controllo (Imperiali, cit.), mentre secondo altri autori l'ODV avrebbe dovuto essere configurato quale responsabile del trattamento (Perinu, cit., Antonetto, cit.).

Tali correnti sono state successivamente superate, in particolare in considerazione del fatto che, a seguito dell'entrata in vigore del Regolamento, non è più configurabile un responsabile interno, essendo il responsabile, necessariamente, una figura distinta dal titolare (v. paragrafo “Superamento della teoria del Responsabile interno”).

La tesi alternativa, elaborata dalla dottrina successiva, sottolineava come l'Organismo di Vigilanza (così come definito dall'art. 6 d.lgs. n. 231/2001, che fa riferimento a “un organismo dell'ente”, e considerato come organo collegiale) si caratterizzi per essere un organo interno della società. Di conseguenza, secondo tale corrente, l'Organismo di Vigilanza non avrebbe dovuto considerarsi né titolare né responsabile: si sarebbe trattato di una parte integrante della società, di un suo organo interno, e dunque il suo ruolo privacy sarebbe stato assorbito da quest'ultima. Non sarebbe dunque stata necessaria alcuna designazione o autorizzazione dell'Organismo, collegialmente inteso, né dei suoi componenti (v. Antonetto, cit.).

La teoria illustrata, pur avendo il pregio di riconoscere che l'Organismo di Vigilanza non si può configurare né come autonomo titolare né come responsabile, non appariva condivisibile sotto altri aspetti.

In primo luogo, non si riteneva che l'ODV fosse configurabile come un organo sociale: essendo istituito dall'organo amministrativo, in conformità al modello organizzativo da questi adottato e con compiti predeterminati, è piuttosto da considerarsi come un ufficio, una ripartizione interna, una struttura della società. E, in ogni caso, non è possibile tale immedesimazione dal punto di vista della tutela dei dati personali, che deve essere tenuta distinta, avendo ben altra finalità. In secondo luogo, considerato che si tratta di un organismo equiparabile ad un ufficio interno della società, si riteneva preferibile una determinazione dei ruoli privacy riferita ai componenti singolarmente considerati e non all'organismo nel suo complesso. In tal senso, la soluzione proposta era quella di procedere ad una nomina dei suoi membri quali “autorizzati al trattamento dei dati personali” ai sensi dell'art. 29GDPR e dell'art. 2-quaterdecies, comma 2 cod. privacy (vedasi in tal senso Bolognini, commento art. 29).

In ogni caso, la questione è stata risolta dal Garante per la protezione dei dati personali, che nel maggio 2020, su richiesta dell'Associazione dei Componenti degli Organismi di Vigilanza ex d.lgs. 231/2001 ha reso un'interpretazione autentica nel “Parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall'art. 6, d.lgs. n. 231/2001”, chiarendo quanto segue: “si ritiene che l'OdV, nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, debba essere considerato “parte dell'ente”. Il suo ruolo – che si esplica nell'esercizio dei compiti che gli sono attribuiti dalla legge, attraverso il riconoscimento di “autonomi poteri di iniziativa e controllo” – si svolge nell'ambito dell'organizzazione dell'ente, titolare del trattamento, che, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio di tali compiti. Tale posizione si intende ricoperta dall'OdV nella sua collegialità, tuttavia, non può prescindersi dalla necessità di definire anche il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono. Inoltre, Il Garante ha confermato la necessità di procedere con una formale autorizzazione ai componenti dell'ODV: “Lo stesso ente, in ragione del trattamento dei dati personali che l'esercizio dei compiti e delle funzioni affidate all'OdV comporta (ad esempio, l'accesso alle informazioni acquisite attraverso flussi informativi), designerà – nell'ambito delle misure tecniche e organizzative da porre in essere in linea con il principio di accountability (art. 24 del Regolamento) – i singoli membri dell'OdV quali soggetti autorizzati (artt. 4, n. 10, 29, 32 par. 4 Regolamento; v. anche art. 2-quaterdecies del Codice). Tali soggetti, in relazione al trattamento dei dati degli interessati, dovranno attenersi alle istruzioni impartite dal titolare affinché il trattamento avvenga in conformità ai principi stabiliti dall'art. 5 del Regolamento”.

Tali nomine dovrebbero comunque essere strutturate in modo peculiare rispetto a quelle degli altri dipendenti, prevedendo specifiche clausole di salvaguardia al fine di garantire tale autonomia e indipendenza (Bolognini, commento art. 29).

Ulteriore caso che in passato era ritenuto controverso è quello rappresentato dal medico competente e della sua qualificazione in termini di titolare o responsabile del trattamento. Il Garante per la protezione dei dati personali, nella relazione annuale 2019, ai paragrafi 13-14 ha affrontato il tema chiarendo che il medico competente opera in qualità di titolare autonomo del trattamento. Vedasi GPDP, Relazione 2019, p. 147, ove si legge: “il Garante ha tradizionalmente considerato il medico competente un autonomo titolare e, nonostante gli accertamenti volti a verificare l'idoneità̀ alla mansione specifica del dipendente siano obbligatori per legge e svolti a spese e a cura del datore di lavoro (artt. 39, comma 5 e 41, comma 4, d.lgs. n. 81/2008), essi devono essere effettuati esclusivamente tramite il professionista. Egli è, infatti, l'unico soggetto legittimato a trattare i dati sanitari dei lavoratori per le finalità̀ indicate dalla disciplina di settore, come chiarito dal Garante in un provvedimento nel quale è stato precisato, tra gli altri profili, che il medico competente tratta dati personali di natura sanitaria indispensabili ai fini dell'applicazione della normativa in materia di igiene e di sicurezza del lavoro in qualità̀ di titolare del trattamento (provv. 27 aprile 2016, n. 194, doc. web n. 5149198; ma v. pure, con particolare riguardo alla tenuta delle cartelle sanitarie e di rischio da parte del medico competente e alla diversa attività̀ di tenuta e aggiornamento dei fascicoli personali dei dipendenti da parte del datore di lavoro, le linee guida in materia di trattamento di dati personali di lavoratori per finalità̀ di gestione del rapporto di lavoro alle dipendenze di datori di lavoro, in particolare ai punti 8.1 e 8.4, doc. web n. 1364939; da ultimo, provv. 5 giugno 2019, n. 146, doc. web n. 9124510). Tanto, anche in considerazione del fatto che lo stesso RGPD considera in via autonoma le funzioni del medico competente con riguardo ai trattamenti necessari per le finalità̀ di medicina del lavoro (art. 9, lett. h), del RGPD), diversamente dai trattamenti del datore di lavoro necessari per adempiere i propri obblighi normativi in materia di salute e sicurezza sul lavoro (artt. 9, lett. b), e 88 del RGPD) (nota 19 marzo 2019)”.

Nel parere 5/2010, l'ex Gruppo di lavoro 29, ha analizzato anche l'ipotesi della fornitura di servizi di cloud computing.

In tal caso il titolare del trattamento è il cliente del servizio, in quanto è colui che “determina la finalità ultima del trattamento e decide in merito all'esternalizzazione di tale trattamento e alla delega a un'organizzazione esterna delle attività di trattamento, in tutto o in parte”. (WP29, op. 5/2010, 9). Dall'altro lato il fornitore del servizio, che dispone degli strumenti e della piattaforma, agendo per conto del cliente, si configura quale responsabile del trattamento, salvo il caso in cui proceda al trattamento per scopi propri. In realtà, nell'attuale scenario economico, spesso i clienti del cloud non hanno manovra per negoziare i termini contrattuali dell'uso dei servizi e spesso sono previste offerte standard. In ogni caso, viene valorizzato il fatto che sia il cliente a decidere l'assegnazione di una parte o di tutti i trattamenti alla gestione tramite cloud, mentre il fornitore si configura come un contraente del primo. Lo squilibrio contrattuale esistente tra un piccolo titolare ed un grande fornitore di servizi non può comunque giustificare l'accettazione di clausole e condizioni non conformi alla normativa in materia di dati personali. Pertanto, il cliente del servizio cloud dovrà prestare attenzione nella scelta del fornitore del servizio, verificando che rispetti la normativa, nonché pattuire specifiche clausole a garanzia della protezione dei dati personali (WP29, op. 5/2012).

La configurazione del cloud provider quale responsabile del trattamento è confermata dalle linee guida 7/2020, che fanno l'esempio di un fornitore di servizi cloud standard, non personalizzabile da parte dei clienti. In tal caso, nonostante i termini del contratto siano determinati e redatti unilateralmente dal fornitore di servizi cloud, con la logica del “prendere o lasciare”, la società cliente, poiché decide di rivolgersi a quel fornitore di servizi cloud per conservare i dati personali, determina comunque la finalità del trattamento ed è quindi da considerarsi titolare del trattamento. Il fornitore di servizi, invece, nella misura in cui non tratta i dati personali per i propri scopi e conserva i dati esclusivamente per conto dei suoi clienti e in conformità alle istruzioni ricevute, è da considerarsi un responsabile del trattamento.

Anche il fornitore di servizi di hosting e connettività del data base è configurabile quale responsabile del trattamento, come confermato dal Garante nell'Ordinanza di ingiunzione nei confronti di Roma Capitale (GPDP, 11 febbraio 2021 doc. web. 9562852).

Interessante è anche il documento elaborato dal Garante per la protezione dei dati personali in risposta a un quesito relativo al ruolo del consulente del lavoro. In particolare, nel quesito posto dal Consiglio nazionale dei consulenti del lavoro si sosteneva la tesi della titolarità (o contitolarità) del consulente del lavoro nella sua attività di trattamento dei dati personali dei clienti e dei dipendenti di questi ultimi, sulla base delle seguenti circostanze fattuali: obbligatorietà di utilizzo di format predeterminati nello svolgimento dell'attività, autonomia nella scelta delle modalità e dei mezzi tecnologici del trattamento e autonomia nella scelta dei collaboratori. Il Garante, nel documento citato, ritiene di dover preliminarmente distinguere due segmenti di attività: da un lato, quella per cui il consulente tratta i dati dei propri dipendenti ovvero dei propri clienti (persone fisiche), quale professionista di una attività regolamentata; e dall'altro quella per cui, nell'ambito dell'incarico ricevuto dal cliente, tratta i dati dei dipendenti di quest'ultimo. Ebbene, nel primo caso è pacifico che il trattamento dei dati è effettuato in qualità di autonomo titolare, in quanto il consulente agisce in piena autonomia, determinando finalità e mezzi del trattamento, per fini attinenti alla propria attività, mentre nel secondo caso lo stesso si configura quale responsabile, in quanto svolge attività delegate dal titolare sulla base di una propria scelta organizzativa di esternalizzare quel tipo di attività. Il Garante evidenzia come spesso le società decidano di affidare servizi relativi al personale a fornitori esterni, trasmettendo loro i dati personali che il datore può raccogliere legittimamente in considerazione del contratto o delle norme di legge o di regolamento applicabili, e che sono trattati dal consulente in base ai criteri ed alle direttive da quest'ultimo impartite. La relazione tra il datore di lavoro ed il consulente (che in base alla propria competenza, certificata dall'iscrizione all'albo, assume gli adempimenti previdenziali e assistenziali non curati direttamente dal datore, rispettando la disciplina di settore e le norme deontologiche pertinenti), rientra quindi nello schema titolare – responsabile. Infatti “è pur sempre il datore di lavoro ad affidare al consulente il relativo incarico”, consegnando anche materialmente la documentazione e peraltro “ciò non lo esime per espresso volere del legislatore ed anche a garanzia del consulente dalla assunzione della responsabilità prevista dall'ordinamento in caso di violazione degli obblighi posti in materia di lavoro, previdenza e di assistenza sociale”. Né vale a modificare tale schema il fatto che il consulente possa scegliere in autonomia i propri collaboratori, posto che gli stessi agiranno quali suoi autorizzati al trattamento o quali sub responsabili nel caso in cui gli sia attribuito lo svolgimento di attività specifiche per conto del responsabile. Allo stesso modo, il Garante nega rilievo al fatto che il consulente abbia un margine di autonomia nella determinazione delle misure volte a garantire la sicurezza dei dati gestiti nei propri archivi, posto che tale circostanza è compatibile con la figura del responsabile (infatti il Regolamento attribuisce allo stesso anche compiti in tal senso). Quanto alla l. n. 12/1979, avente ad oggetto l'ordinamento della professione di consulente del lavoro, il Garante chiarisce che la stessa ha l'obiettivo di definire i requisiti per l'accesso a tale professione, e non certo quello di attribuire ex lege la competenza in merito agli adempimenti lavoristici a tale categoria professionale. Da evidenziare anche la riflessione del Garante in relazione alle distinte basi giuridiche applicabili alle diverse operazioni di trattamento: se il consulente tratta i dati dei propri clienti e dipendenti, il trattamento si basa sull'esecuzione del contratto (art. 6.1, lett b GDPR), mentre quando tratta i dati, anche sensibili, dei dipendenti del proprio cliente, la base è quella, ex art. 9.2, lett. b), riferibile al datore di lavoro che, per il rapporto titolare-responsabile, si trasferisce a quest'ultimo in virtù della designazione (GPDP, 22 gennaio 2019, Risposta a un quesito relativo al ruolo di consulente del lavoro dopo la piena applicazione del Regolamento (UE) 2016/679).

Nel caso di società di call center che effettuino chiamate promozionali per conto di altri (es. operatori telefonici) generalmente si configura un rapporto titolare- responsabile. Ove, tuttavia, la società fornitrice del servizio abbia contribuito a stabilire le finalità promozionali e le modalità di contatto, organizzandole anche in assenza di specifiche istruzioni operative fornite dalla committente, ed eccedendo le competenze che il suo ruolo di mero responsabile avrebbe comportato, allora è configurabile un rapporto di contitolarità con la società mandante (GPDP 11 marzo 2021, doc. web n. 9577042).

Il Garante ha reso un parere sul ruolo degli istituti bancari che svolgono attività di intermediazione nel collocamento di polizze assicurative, accogliendo la richiesta di una compagnia assicurativa che, rifacendosi al modello distributivo c.d. bancassurance, sosteneva che le operazioni di trattamento poste in essere dalle banche per il collocamento delle polizze assicurative fossero effettuate dalle stesse, per conto della compagnia, in qualità di responsabili del trattamento. In particolare, è stato rilevato come l'art. 58 del Regolamento IVASS n. 40/2018 stesso fissa i principi che regolano i rapporti tra la compagnia assicurativa e l'intermediario nei termini di un rapporto tipico titolare/responsabile del trattamento. Infatti, da un lato, la discrezionalità dell'intermediario con riferimento alla determinazione delle finalità e dei mezzi del trattamento è limitata normativamente in quanto è la stessa norma a indicare quali sono le informazioni che l'intermediario deve raccogliere per valutare le richieste ed esigenze del contraente; dall'altro, il citato comma 3 riduce ulteriormente il margine di autonomia del ruolo del distributore, ponendo in capo alla compagnia assicurativa il compito di impartire all'intermediario le istruzioni idonee a guidarlo nella fase precontrattuale di acquisizione delle informazioni. Il Garante ha quindi sostenuto che, in questa prospettiva, l'attività di intermediazione posta in essere dalla banca si configura come un'attività strumentale alla finalità perseguita dalla compagnia assicurativa (GPDP, Richiesta di parere avanzata riguardo al ruolo soggettivo degli istituti di credito che trattano dati personali dei clienti ai fini del collocamento di polizze assicurative – 18 maggio 2022).

Ulteriore ipotesi che appare interessante analizzare è quella dei ruoli nell'ambito di eventuali raggruppamenti temporanei di imprese (R.T.I.), adottati per partecipare alle gare di appalto pubblico (art. 48 del d.lgs. n. 50/2016, Codice dei contratti pubblici) e limitati, quanto a scopo e oggetto, alla partecipazione alla gara stessa. L'esecuzione dell'incarico oggetto del contratto pubblico può comportare il trattamento da parte del R.T.I. dei dati personali di cui è titolare la stazione appaltante, ma, poiché, il R.T.I., non è un'organizzazione stabile, ma una temporanea e occasionale aggregazione di imprese autonome, a parere di chi scrive, non è possibile una nomina a Responsabile da parte della stazione appaltante verso il RTI. Pertanto, la stazione appaltante potrebbe nominare responsabile la mandataria, la quale potrebbe poi nominare come sub-responsabili le altre imprese. In alternativa, la stazione appaltante potrebbe nominare direttamente come responsabili ciascuna delle società facenti parte dell'RTI. A parere di chi scrive la seconda soluzione appare preferibile, in quanto più aderente ai caratteri di autonomia e indipendenza delle imprese aderenti alla R.T.I. Occorre sottolineare che comunque, in pratica, non sarà necessario che ogni impresa sottoscrive una nomina ex art. 28 GDPR direttamente con la stazione appaltante, ben potendo la mandataria sottoscrivere gli atti in nome e per conto delle varie imprese associate, nel suo ruolo di “interlocutore unico del committente” in conformità alla normativa.

Requisiti di idoneità del responsabile

Ai sensi del primo comma dell'art. 28 GDPR, allorché il titolare voglia esternalizzare un'attività che comporti il trattamento di dati personali, dovrà ricorrere unicamente a responsabili che risultino idonei, ovvero che prestino garanzie di mettere in atto misure tecniche e organizzative adeguate, in modo che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell'interessato.

Il considerando 81 precisa che tali garanzie dovrebbero essere valutate con particolare riferimento a “conoscenza specialistica, affidabilità e risorse”.

È consigliabile, pertanto, stabilire i criteri per la qualificazione dei fornitori, tenendo in considerazione fin dall'inizio gli aspetti inerenti la tutela dei dati personali (ad. esempio l'esistenza di una certificazione 27001/2017 per i sistemi di gestione della sicurezza delle informazioni o di altri standard potrebbe essere valutata ai fini dell'attribuzione del punteggio nell'ambito della partecipazione ad una gara d'appalto).

In merito vedasi anche le linee guida 7/2020, ove ai punti 93 e 94 si legge quanto segue: “the guarantees “provided” by the processor are actually those that the processor is able to demonstrate to the satisfaction of the controller, as those are the only ones that can effectively be taken into account by the controller when assessing compliance with its obligations. Often this will require an exchange of relevant documentation (e.g. privacy policy, terms of service, record of processing activities, records management policy, information security policy, reports of external audits, recognized international certifications, like ISO 27000 series). The controller's assessment of whether the guarantees are sufficient is a form of risk assessment, which will greatly depend on the type of processing entrusted to the processor and needs to be made on a case-by-case basis, taking into account the nature, scope, context and purposes of processing as well as the risks for the rights and freedoms of natural persons”.

Inoltre potranno essere valutate come elemento per dimostrare le suddette garanzie anche l'adesione da parte del responsabile ad un codice di condotta di cui all'art. 40 GDPR o a un meccanismo di certificazione di cui all'art. 42 GDPR.

Le linee guida dell'EDPB, peraltro, precisano che l'obbligazione di rivolgersi solo a responsabili del trattamento che forniscano idonee garanzie si configura quale obbligazione “continua”, che non si esaurisce al momento della conclusione del contratto: il titolare del trattamento dovrà verificare le garanzie del responsabile ad intervalli periodici, anche mediante ispezioni ed audit (EDPB, LG 7/2020, punto 99).

In merito agli audit, in particolare, l'EDPB sottolinea come le ispezioni siano effettuati dal titolare, o da una terza parte incaricata, con l'obiettivo di raccogliere tutte le informazioni relative all'attività di trattamento eseguita per suo conto dal responsabile. Pertanto, per quanto il responsabile del trattamento possa suggerire la scelta di uno specifico auditor, la decisione finale deve essere lasciata al titolare del trattamento. Nel caso in cui la verifica sia effettuata da un soggetto proposto dal responsabile del trattamento, peraltro, il titolare del trattamento conserverà comunque il diritto di contestare la portata, la metodologia e i risultati dell'audit.

Viene inoltre precisato che le parti dovrebbero cooperare in buona fede e valutare necessità, tempistiche e modalità di eventuali verifiche nei locali del responsabile del trattamento. La scelta finale al riguardo spetterà comunque al titolare del trattamento. A seguito dei risultati dell'audit, il titolare del trattamento dovrebbe poter chiedere al responsabile del trattamento di adottare misure ulteriori, ad esempio per porre rimedio alle carenze e alle lacune individuate.

Quanto alla discussa questione della ripartizione dei costi tra il responsabile del trattamento e il titolare del trattamento in materia di audit, le linee guida precisano che, non essendo disciplinata dal GDPR, sarà soggetta a considerazioni commerciali. Tuttavia, bisogna tenere in considerazione che l'art. 28, paragrafo 3, lettera h), richiede che il contratto preveda l'obbligo per il responsabile del trattamento di mettere a disposizione del titolare del trattamento tutte le informazioni necessarie e di consentire e contribuire agli audit. Per l'EDPB ciò significa, in pratica, che le parti non dovrebbero prevedere nel contratto il pagamento di costi chiaramente sproporzionati o eccessivi, poiché avrebbero un effetto dissuasivo su una delle parti. In tal caso, infatti, i diritti e gli obblighi di cui all'art. 28, paragrafo 3, lettera h), non verrebbero mai esercitati nella pratica e rimarrebbero puramente teorici (quando invece sono parte integrante delle garanzie di protezione dei dati previste dall'art. 28 GDPR).

Il mancato assolvimento del controllo costante nei confronti del responsabile comporta una responsabilità per culpa in vigilando da parte del titolare. Infatti, “è onere del titolare del trattamento avvalersi di responsabili che offrano sufficienti garanzie ma questo non basta a ridurre il grado di responsabilità in vigilando che il titolare deve costantemente esercitare nel corso delle attività di trattamento” (GPDP 25 novembre 2021, doc. web n. 9737185).

Designazione del responsabile

Forma dell'atto di designazione

Uno degli aspetti più innovativi del Regolamento (rispetto alla disciplina del Codice privacy A-R) è rappresentata dal fatto che, mentre nel vigore di quest'ultimo la designazione del responsabile era facoltativa, il Regolamento rende tale designazione obbligatoria.

L'articolo 28 paragrafo 3 GDPR, infatti, stabilisce che, qualora si ricorra a soggetti che trattano dati in nome e per conto del titolare, i rapporti debbano necessariamente essere disciplinati in un contratto o comunque in un atto giuridico vincolante, che preveda i seguenti elementi: materia disciplinata; durata del trattamento; natura e finalità del trattamento; tipo di dati personali; categorie di interessati; obblighi e diritti del titolare del trattamento.

Quanto al requisito dell'essere “vincolante”, si intende che il responsabile non può sciogliersi da tale impegno in modo autonomo e scollegato rispetto al contratto o rapporto giuridico sottostante (ad esempio contratto di appalto). Inoltre, il responsabile non può rifiutarsi pretestuosamente di ricevere la designazione, ove questa corrisponda appunto al rapporto sottostante, e la designazione deve essere formalizzata prima che vengano iniziate le operazioni di trattamento (Pelino, 147).

Il paragrafo 3 dell'articolo specifica che il contratto deve essere stipulato in forma scritta, anche elettronica.

Sul punto, è stato evidenziato che deve ritenersi valida come forma elettronica anche la semplice spunta apposta su un box di un web-form (Riccio come citato in Salvati, Scorza, 269).

Tale impostazione, a parere della scrivente, potrebbe essere condivisibile, in quanto si ritiene che la forma richiesta non sia un requisito ab substantiam. La stessa non appare prevista, infatti, al fine di attestare il valore legale dell'accordo, o di conferirgli una particolare sacralità formale, bensì con l'intento di realizzare una “accountability” sostanziale, come appunto è confermato dalla previsione della forma elettronica. A parere di chi scrive, quindi, si potrebbe sostenere la validità di una designazione formalizzata anche semplicemente con email, flag apposto su web form o comunque, in generale, attraverso firme elettroniche non qualificate.

In tal senso anche il Gruppo di lavoro 29 in relazione ai rapporti con il fornitore di servizi cloud stabilisce che “gli elementi del contratto o dell'atto giuridico relativi alla protezione dei dati e i requisiti relativi alle misure tecniche e organizzative sono stipulati per iscritto o in altra forma equivalente” ma indica anche che tale forma è funzionale “ai fini di conservazione delle prove” (WP29, op 5/2012, p. 14).

Tuttavia, c'è da considerare che le nuove linee guida dell'EDPB, al fine di evitare difficoltà nel dimostrare il carattere vincolante del contratto o altro atto giuridico, consigliano l'inclusione nell'atto delle sottoscrizioni necessarie (cfr. EDPB, LG 7/2020, punto 101 “Per evitare difficoltà nel dimostrare che il contratto o altro atto giuridico è effettivamente in vigore, l'EDPB raccomanda di accertarsi che le firme necessarie vi siano incluse, in linea con il diritto applicabile (ad esempio, il diritto contrattuale”).

Indipendentemente dai profili attinenti alla forma, si evidenzia che, vista l'obbligatorietà della previsione, (peraltro per il titolare, in caso di inadempimento, è prevista la sanzione fino a 10.000.000 euro o fino al 2% del fatturato totale mondiale annuo, ex art. 83.4 lett. a) del GDPR), il responsabile non può rifiutarsi di accettare la designazione, pena la risoluzione del contratto sottostante. Analoga conseguenza incontrerà il responsabile che non sia in grado di garantire la sicurezza dei trattamenti e le misure che il titolare ritiene di adottare in relazione al rischio individuato (Pizzetti, cit.).

Anche l'EDPB chiarisce che, in caso di mancanza del contratto o altro atto giuridico vincolante, le autorità di controllo potranno sanzionare sia titolare che responsabile, valutando le circostanze di ciascuno. Viene altresì specificato che la responsabilità potrà essere riconosciuta anche nl caso di contratti stipulati prima dell'entrata in vigore del GDPR, ove successivamente non siano aggiornati in conformità all'art. 28 GDPR (cfr. EDPB, LG 7/2020, punto 103).

Occorre evidenziare che secondo l'EDPB, nel caso di inclusione dell'accordo ex art. 28 all'interno delle condizioni generali del fornitore, eventuali modifiche dello stesso dovranno essere comunicate al Titolare e specificamente approvate da quest'ultimo: non sarà quindi sufficiente la mera pubblicazione delle modifiche sul sito web del fornitore (cfr. EDPB, LG 7/2020, punto 110).

Contenuto dell'atto di designazione

L'articolo in commento, al paragrafo 3, indica una serie di obblighi dettagliati che devono essere previsti nei confronti del responsabile nell'atto di designazione.

Una doverosa premessa è fatta dallo stesso EDPB nelle linee guida 7/2020, ove viene chiarito che, mentre l'art. 28 indica il contenuto essenziale dell'accordo, il contratto o altro atto giuridico dovrebbe rappresentare lo strumento con cui titolare e responsabile chiariscono come tali obblighi essenziali debbano essere adempiuti in concreto, mediante istruzioni dettagliate. L'accordo non dovrebbe quindi configurarsi come un mero esercizio formale, che ribadisce gli elementi dell'art. 28, ma dovrebbe contenere informazioni specifiche, anche relativamente al livello di sicurezza (cfr. EDPB, LG 7/2020, punto 112).

Per approfondimenti circa il contenuto dell'accordo e le obbligazioni del responsabile del trattamento si rinvia alla lettura del documento, che illustra in maniera dettagliata e con esempi pratici ciascuno degli elementi e delle obbligazioni previste dall'art. 28 GDPR (Cfr. in particolare EDPB, LG 7/2020, paragrafo 1.3).

In questa sede giova soffermarsi brevemente solo su alcune delle previsioni dell'art. 28 GDPR.

Per quanto riguarda l'obbligo di trattare i dati solo su istruzione documentata del titolare, di cui all'art. 28. 3 lettera a), l'EDPB precisa che tali istruzioni dovranno includere anche il tema del trasferimento dei dati all'estero. In particolare, nel caso in cui il titolare del trattamento vieti al responsabile di trasferire i dati al di fuori dell'UE, allora il responsabile non potrà rivolgersi a sub-responsabili extra UE, né gli sarà consentito di trattare i dati in eventuali filiali extra UE.

Il paragrafo 3 lett. f) richiede che il responsabile assista il titolare nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR. A tal proposito, si sottolinea la rilevanza del ruolo del responsabile con riferimento all'art. 35 GDPR, sull'obbligo di effettuare la valutazione di impatto. È evidente, infatti, come il rischio del trattamento sia notevolmente influenzato dal fatto di affidare all'esterno alcune attività e come quindi sia fondamentale, al fine di una corretta valutazione, conoscere sin dalla fase iniziale di scelta del responsabile il modo in cui lo stesso tratterà i dati e quali misure di sicurezza attuerà (in tal senso anche Pizzetti, cit.).

Analogamente appare fondamentale il ruolo del responsabile per l'adempimento degli obblighi di cui agli artt. 33 e 34 GDPR, relativi alla notifica e comunicazione dell'eventuale violazione di dati personali: se infatti è pacifico che le 72 ore previste dall'art. 33 GDPR decorrano da quando il titolare “viene a conoscenza” della violazione, e quindi da quando gli viene eventualmente comunicata dal responsabile, è altresì evidente come solo una conoscenza tempestiva della violazione gli consentirà di intervenire immediatamente al fine di porre rimedio alla violazione o di attenuarne le conseguenza. Pertanto, nonostante non sia previsto alcun termine entro cui il responsabile debba comunicare la violazione (l'art. 33 GDPR si limita a richiedere che avvenga “senza ingiustificato ritardo”), tale limite temporale ben potrebbe essere stabilito contrattualmente dal titolare ai sensi dell'art. 28 f) GDPR.

Anche le linee guida dell'EDPB raccomandano che l'accordo indichi un termine entro cui la violazione debba essere comunicata al Titolare del trattamento, oltre che il recapito per tali comunicazioni e le modalità da utilizzare (cfr. EDPB, LG 7/2020, punto 133).

Le linee guida precisano anche che l'accordo tra il titolare e il responsabile del trattamento può includere l'obbligo per il responsabile del trattamento di notificare direttamente all'autorità competente eventuali violazioni dei dati conformemente agli artt. 33 e 34 del GDPR. In tal caso, però, la responsabilità legale della notifica rimane in capo al titolare del trattamento e il responsabile dovrà comunque informare della notifica il titolare del trattamento (fornendo copia della notifica e delle eventuali comunicazioni agli interessati). Sempre in tema di data breach, nel caso di sub-responsabili, l'accordo tra responsabile e sub-responsabile potrebbe prevedere l'obbligo di notifica di eventuali data breach direttamente da parte del sub responsabile al titolare. Tale ipotesi è possibile solo nel caso di accordo di tutte le tre le parti. In tal caso, comunque, il responsabile dovrà essere informato e gli dovrà essere fornita una copia della notifica.

Simili considerazioni potrebbero valere anche con riferimento alla previsione di cui alla lett. e) per cui il responsabile deve assistere il titolare nell'obbligo di dar corso alle richieste degli interessati. Infatti, posto che il titolare deve dar riscontro all'interessato “senza ingiustificato ritardo” e comunque entro un mese dalla richiesta (art. 12 GDPR), anche in questo caso potrebbe essere utile stabilire contrattualmente un termine entro cui il responsabile debba trasmettere al titolare eventuali richieste a lui direttamente pervenute.

Oltre all'ipotesi di un contratto individuale stipulato tra le parti, la designazione del responsabile potrebbe basarsi su clausole contrattuali standard elaborate dalla Commissione o dalle autorità di controllo nazionali in base al meccanismo di coerenza. Tale soluzione è vista con favore in quanto consentirebbe, in parte, di rimediare allo squilibrio contrattuale che spesso vige tra i grossi fornitori di servizi, che agiscano in qualità di responsabili, ma impongono i contratti tipo da loro predisposti, e i piccoli utenti, che agiscono come titolare ma non hanno potere contrattuale per imporre obblighi al responsabile (Salvati, Scorza, 270, e cfr. EDPB LG 7/2020).

Inoltre tale strumento standard, che esclude problemi di compatibilità con la normativa, potrebbe essere utile qualora le parti non siano d'accordo sul contenuto della designazione. Le parti potranno comunque integrare le clausole presenti dei modelli (Pelino, 148).

Pubblicità dell'atto di designazione

A differenza dell'art. 26 GDPR, che richiede che l'accordo di contitolarità sia messo a disposizione degli interessati, nell'art. 28 GDPR non è prevista alcuna forma di pubblicità del contratto o dell'atto giuridico che vincola titolare e responsabile. Il che potrebbe comportare alcune criticità applicative al momento di agire per il risarcimento del danno.

In base all'art. 82 GDPR, infatti, il responsabile può essere chiamato a risarcire il danno solo se non ha adempiuto agli obblighi del Regolamento specificamente diretti ai responsabili del trattamento oppure se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.

Tuttavia, se l'accordo tra il titolare ed il responsabile non deve essere reso pubblico, come può l'interessato azionare una responsabilità per violazione dell'accordo in assenza di consapevolezza circa l'oggetto dell'accordo medesimo? Gli interpreti ritengono che il problema possa essere in parte superato con la considerazione che gli accordi tra titolari e responsabili si basano su clausole standard, astrattamente note agli interessati (Riccio, 599).

Funzionale all'azionamento di tale responsabilità è, invece, la previsione di cui all'art. 13, par. 1 lett. e) e all'art. 14, par. 1 lett. e) del GDPR circa l'obbligo di indicare tra le informazioni da rendere disponibili all'interessato anche “i destinatari o le categorie di destinatari”, concetto in cui è pacifico che rientrino anche i responsabili. Vedasi sul punto anche le linee sulla trasparenza del Gruppo di lavoro 29, in cui si chiarisce che per “destinatario” non è da intendersi necessariamente un terzo, ma anche gli altri titolari, contitolari, e responsabili del trattamento a cui sono trasferiti i dati. Lo stesso documento, all'Allegato “informazioni da fornire all'interessato ai sensi dell'art. 13 o 14”, precisa che “conformemente al principio di correttezza, i titolari del trattamento devono fornire sui destinatari le informazioni più pregnanti per gli interessati. In pratica, si tratterà in genere dei nomi dei destinatari, in maniera tale che gli interessati sappiano con precisione chi è in possesso dei dati personali che li riguardano. Se i titolari del trattamento optano per fornire le categorie dei destinatari, le informazioni dovrebbero essere il più specifiche possibile e indicare il tipo (es. facendo riferimento alle attività svolte), l'ambito di attività, il settore, il comparto e la sede dei destinatari”.

Designazione di un secondo responsabile (sub-responsabile)

La disciplina vigente con il Codice privacy A-R prevedeva che il responsabile dovesse sempre essere nominato dal titolare. Tale norma comportava una serie di difficoltà applicative in quanto non rispecchiava i rapporti che in concreto si creano nell'ambito delle relazioni contrattuali tra fornitori, ove spesso la struttura è a griglia (per cui un fornitore di servizi, a cui è stata esternalizzata una porzione di attività, attribuisce a sua volta ad altro fornitore lo svolgimento di una parte delle operazioni).

Diversa era invece la situazione a livello europeo in quanto, già in vigenza della disciplina previgente, il Gruppo di lavoro 29 ammetteva la possibilità che un responsabile designasse a sua volta un altro soggetto e, in tal caso, prevedeva la necessità di vincolare quest'ultimo alle medesime istruzioni date dal titolare al primo responsabile (al fine di attribuire chiaramente le responsabilità e non disperderle lungo la catena dell'esternalizzazione).

Il Regolamento, all'art. 28, ha innovato la disciplina riconoscendo espressamente la possibilità per il responsabile di designare un altro soggetto (che nella prassi viene indicato come sub-responsabile).

Il paragrafo 2 dell'art. 28 prevede in particolare due possibilità di designazione: nomina diretta (da responsabile a responsabile) autorizzata specificamente per iscritto dal titolare; autorizzazione generale scritta del titolare. In quest'ultimo caso, il titolare ha un potere di opposizione, per cui grava sul primo responsabile l'onere informativo di comunicare al titolare eventuali modifiche o integrazioni della lista dei responsabili.

Trattandosi di un potere di opposizione, e non di ratifica, ove non venga esercitato dovrà intendersi che il titolare abbia aderito alla designazione del sub-responsabile (Pelino, 150; vedasi anche EDPB, LG /2020 punto 157).

Poiché la norma è silente in merito al termine di esercizio dell'opposizione ed alle modalità e ai termini dell'onere informativo nei confronti del titolare, si raccomanda di disciplinare questi aspetti nell'atto di designazione, onde evitare incertezze circa l'approvazione della nomina (Salvati, Scorza, 271; vedasi anche EDPB, LG 7/2020 punto 158).

In ogni caso di nomina di sub-responsabili, il paragrafo 4 prevede che il responsabile debba imporgli, mediante un atto scritto o altro atto giuridico vincolante, gli stessi obblighi in materia di protezione dei dati personali che vigono nel contratto stipulato tra il primo responsabile e il titolare del trattamento.

Nel caso in cui il sub-responsabile ometta di adempiere ai propri obblighi, l'intera responsabilità nei confronti del titolare è conservata dal primo responsabile.

La norma non chiarisce se, oltre alla designazione da parte del responsabile al sub-responsabile, quest'ultimo possa a sua volta designare un terzo responsabile, e così via, in una struttura di tipo nidificato,(si pensi ad un fornitore di servizi di selezione del personale, che si rivolga ad un esterno per il servizio di hosting). Si ritiene che tale possibilità non sia incompatibile con la norma (Pelino, 151).

Per quanto riguarda il rapporto tra responsabile e sub-responsabile, si ritiene che debba applicarsi una struttura di tipo gerarchico per cui ciascun responsabile della catena potrà ricevere istruzioni, oltre che dal titolare, anche dal responsabile che l'ha designato, purché, ovviamente, queste siano compatibili con quelle originarie del titolare (Pelino, 151).

Tale ricostruzione è in linea con il regime di responsabilità previsto, per cui il primo responsabile risponde nei confronti del titolare degli eventuali inadempimenti del sub-responsabile (Salvati, Scorza, 271).

Responsabilità e sanzioni

Per la violazione dell'art. 28 GDPR è prevista la sanzione fino a 10.000.000 euro o fino al 2% del fatturato totale mondiale annuo, ex art. 83.4 lett a) GDPR.

Giova inoltre ricordare che per il responsabile, il Regolamento, oltre alle obbligazioni stabilite contrattualmente dal titolare con l'atto di cui all'art. 28, prevede ulteriori obblighi specifici. Vedasi, a titolo esemplificativo, l'art. 30 sul registro dei trattamenti; l'art. 31 sull'obbligo di cooperare con l'autorità competente; l'art. 32 sulle misure di sicurezza. In caso di violazione di tali obblighi gli sono comunque applicabili le sanzioni previste dagli art. 83 e 84 GDPR.

Quanto alla responsabilità per il danno eventualmente causato dal trattamento, l'art. 82 lo limita ai casi in cui il responsabile non abbia adempiuto agli obblighi del Regolamento specificamente rivolti ai responsabili del trattamento o abbia agito in modo difforme rispetto alle istruzioni del titolare.

Il paragrafo 10 dell'articolo in commento precisa inoltre che, nel caso in cui un responsabile violi il Regolamento, determinando le finalità e i mezzi del trattamento, dovrà essere considerato come titolare del trattamento in questione (gli saranno quindi applicabili tutti i relativi obblighi e sanzioni).

Deve, altresì, tenersi conto che, per effetto dell'omessa regolamentazione dei rapporti tra titolare e responsabile ai sensi dell'art. 28 del Regolamento - che non costituisce affatto un mero adempimento formale, derivando da essa il soddisfacimento di garanzie di ordine sostanziale – il titolare si trova a mettere a disposizione del responsabile dati personali rientranti nella sua titolarità in assenza di base giuridica e in violazione del principio di liceità; conseguentemente, anche il trattamento dei dati personali posto in essere dal responsabile deve considerarsi effettuato in assenza di idonea base giuridica e in violazione del principio di liceità.

Tale principio è stato ribadito dal Garante in molteplici casi (cfr. provv. 18 luglio 2023, n. 313 e 314, doc. web nn. 9920645 e 9920664; provv. 21 luglio 2022, nn. 268, 269 e 270, doc. web nn. 9811271, 9813326 e 9811732; provv. 17 settembre 2020, nn. 160 e 161, doc. web nn. 9461168 e 9461321; provv. 11 febbraio 2021, n. 49, doc. web n. 9562852, provv. 17 dicembre 2020, nn. 280, 281 e 282, doc. web nn. 9524175, 9525315 e 9525337, nonché provv. 10 febbraio 2022, nn. 43 e 44, doc. web n. 9751498; v. anche “Linee guida 07/2020 sui concetti di titolare e responsabile del trattamento nel GDPR”, adottate il 7 luglio 2021 dall'EDPB, spec. nota 42) ed è stato, da ultimo, confermato anche dalla giurisprudenza di legittimità (cfr. Cass., Sez. I Civ., sent. n. 35256 del 18 dicembre 2023, ove si legge che “in assenza di "designazione [ai sensi dell'art. 28 del Regolamento] con specifico contratto o altro atto equipollente, né essendo stati individuati altri presupposti che potessero legittimare il trattamento dei dati personali degli utenti del servizio in esame, il loro trattamento […] deve considerarsi effettuato in assenza di idonea base giuridica e, dunque, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento”; v. anche in tal senso Cass., Sez. I Civ., ordinanza n. 21234 del 23 luglio 2021).

Le clausole standard della Commissione Europea

In data 4 giugno 2021 la Commissione Europea ha approvato un set di clausole contrattuali standard ai sensi dell'art. 28 paragrafo 7 GDPR, da utilizzare nei rapporti tra titolare e responsabile che siano soggetti al GDPR e che si trovino all'interno del SEE. Nel preambolo della decisione è indicato che le stesse clausole possono essere utilizzate anche nel caso di titolari e responsabili soggetti al Regolamento UE 2018/1725 applicabile alle istituzioni, organi e agenzie dell'Unione Europea, in quanto tali regolamenti sono stati allineati, ove possibile, al fine di garantire un approccio coerente nella protezione dei dati personali e la libera circolazione degli stessi all'interno dell'Unione Europea. È invece precisato che le clausole non possono essere usate per la finalità di trasferire i dati in paesi terzi ai sensi del capitolo V del GDPR (a tal fine, infatti, la Commissione ha adottato un set specifico di clausole, per cui si rimanda al commento dell'art. 46).

Le clausole standard possono essere inserite in un accordo più ampio, e possono essere integrate da ulteriori previsioni, purché le stesse non contraddicano direttamente o indirettamente le standard clauses e non pregiudichino i diritti e le libertà fondamentali degli interessati.

Nell'ottica di flessibilità la Commissione ha previsto all'art. 5 (“docking clause”) la possibilità di aderire alle clausole da parte di ulteriori soggetti durante tutta la vita del rapporto contrattuale: un'entità non parte delle clausole può, con l'accordo delle parti, aderirvi (in qualità di esportatore o importatore) in qualsiasi momento semplicemente compilandone gli allegati e, a partire da quel momento assume gli stessi diritti ed obblighi delle altre parti. Tale clausola appare particolarmente utile nel caso di trasferimenti successivi, per cui il ricevente potrà aderire alle clausole.

Le clausole non sono modificabili e sono previsti i seguenti allegati che devono essere compilati dalle parti:

– Annex I, con indicazione dei ruoli e dei riferimenti delle parti;

– Annex II, ove deve essere decritto il trattamento, con indicazione specifica delle categorie di interessati, delle categorie di dati trattati, di eventuali dati sensibili (in tal caso devono essere specificate anche le salvaguardie e limitazioni previste tenendo conto della natura dei dati), della natura del trattamento, della finalità del trattamento, della durata del trattamento, della natura e durata del trattamento ad opera di eventuali sub-responsabili;

– Annex III, ove devono essere indicate le misure di sicurezza. La commissione precisa che tali misure devono essere indicate in modo specifico, e non generico, e fornisce alcuni esempi;

– Annex IV, ove deve essere contenuto l'elenco dei sub-responsabili e devono essere indicati i riferimenti degli stessi e una descrizione del trattamento (“inclusa una chiara limitazione delle responsabilità nel caso in cui siano autorizzati vari sub-processors”).

Nel testo delle clausole vengono sostanzialmente ribaditi ed in determinati casi “arricchiti” gli obblighi che l'art. 28 GDPR impone al responsabile del trattamento. È previsto infatti che lo stesso debba garantire le misure di sicurezza a tutela dei dati, richiedere l'autorizzazione specifica o generica del titolare per la nomina di sub-responsabili (in tal caso, va specificato il termine entro cui deve essere presentata la richiesta di autorizzazione), assistere il titolare per garantire l'esercizio dei diritti degli interessati e le altre obbligazioni previste dagli artt. 32,33,36-38 GDPR; notificare senza ingiustificato ritardo eventuali data breach, cancellare o restituire i dati alla cessazione del contratto.

Si sottolineano gli aspetti di seguito indicati:

– particolare rilevo è dato alla durata del trattamento, per cui la clausola 7.3 prevede che il trattamento da parte del responsabile potrà avvenire solo per la durata specificata nell'Annex;

– nel caso di trattamento di dati sensibili, devono essere garantite misure e restrizioni aggiuntive (quali, ad esempio, restrizioni di accesso, registri degli accesso ai dati, restrizioni ai trasferimenti successivi e misure di sicurezza aggiuntive);

– è sottolineato che, nel caso di audit e controlli da parte del titolare del trattamento, dovranno essere tenute in considerazione eventuali certificazioni ottenute dal responsabile;

- è specificato che il titolare del trattamento ha il diritto di ottenere copia dei contratti conclusi tra responsabile e sub-responsabile e che, nel caso in cui sia necessario per la tutela di informazioni commerciali, il responsabile potrà espungerle dall'accordo prima di condividerlo con il titolare del trattamento;

– è previsto che, nel caso in cui il responsabile concluda accordi con sub responsabili al di fuori dello SEE, la conformità alla disposizioni del capitolo V del GDPR possa essere garantita utilizzando lo specifico set di clausole contrattuali standard adottate dalla Commissione ai sensi dell'art. 46 GDPR;

– sono previsti obblighi di collaborazione con il titolare del trattamento non solo nel caso di data breach riguardanti i dati trattati dal responsabile, ma anche nel caso di dati trattati dal titolare (cfr. clausola 9)

Nel caso in cui il responsabile del trattamento violi le clausole contrattuali standard, il titolare del trattamento può dargli istruzioni affinché sospenda il trattamento fino all'adeguamento alle clausole o fino alla cessazione del contratto. Il titolare può risolvere il contratto nel caso in cui, dopo la sospensione, non sia ripristinata la conformità alle clausole, o nel caso in cui il responsabile sia in sostanziale o persistente violazione delle clausole o delle norme previste dal GDPR o dal Regolamento 2018/1725, o infine nel caso in cui il responsabile non adempia a decisioni vincolanti di autorità competenti.

Dall'altro lato, il responsabile può risolvere il contratto nel caso in cui, dopo aver informato il titolare del trattamento che le istruzioni date confliggono con i requisiti di legge, il titolare insista nel richiedere di adeguarsi a tali istruzioni.

Si segnala che la Commissione Europea, nel maggio 2022, ha anche fornito “domande e risposte” di chiarimento sui due set di clausole contrattuali standard.