È meglio chiarire subito un aspetto fondamentale: tutti i responsabili del trattamento, che erano stati designati in conformità al decreto legislativo 196/2003, devono essere inquadrati in un rapporto contrattuale completamente diverso, perché completamente diverso è il profilo del responsabile del trattamento, come illustrato nel regolamento europeo.
Non per nulla, si passa da un paio di righe del decreto legislativo ad un paio di pagine del regolamento europeo!
Cominciamo a dire che non vi è una significativa differenza tra il fatto che un responsabile del trattamento sia interno od esterno. Da qualche parte si è sostenuto che il responsabile del trattamento debba essere necessariamente un soggetto terzo, ma di questa ipotesi non vi è alcuna traccia nel regolamento e neppure nell’esame di questi profili, in altri paesi europei.
Cominciamo ad esaminare il caso di un responsabile esterno, vale a dire un soggetto terzo che offre servizi di trattamento dati ad un titolare.
I contratti che erano stati basati sulla precedente direttiva sulla protezione dei dati, la direttiva 95 / 46/EC, facevano riferimento ad una serie assai più semplificata di requisiti, dando poche indicazioni circa le responsabilità che incombono al titolare, che deve tenere sotto controllo l’operato del responsabile.
Con il nuovo regolamento il titolare e responsabile il trattamento sono entrambi coinvolti in possibili violazioni e possono essere soggetti a sanzioni oltremodo elevate. Basterebbe questa sola ragione per mostrare come un contratto già in essere debba essere profondamente rivisto.
In questa stessa ottica bisognerebbe esaminare in profondità non solo il rapporto che lega un titolare ad un responsabile, ma anche un titolare ad un altro titolare e perfino un contratto che lega contitolari. Questi accordi sono esplicitamente previsti al comma 1 dell’articolo 28, quando il titolare deve accertarsi di usare responsabili che offrano sufficienti garanzie di competenze e capacità nell’effettuare trattamenti nel pieno rispetto del regolamento. Ciò impone al titolare di esaminare in profondità il profilo del responsabile, per sceglierne uno che abbia le idonee competenze.
Ancora una volta, il problema della culpa in eligendo potrebbe ricadere sul titolare, che abbia scelto con troppa leggerezza il responsabile, cui ha affidato i preziosi dati personali, che l’interessato aveva dato in custodia al titolare.
Ricordiamo ancora una volta che un titolare è l’entità che determina le finalità e i mezzi del trattamento di dati personali, mentre un responsabile tratta questi dati per ordine e conto del controllore. Questa impostazione mostra con chiarezza come il titolare debba prestare ogni cautela nel selezionare un responsabile avente sufficiente competenza.
Ancora una volta, non v’è dubbio che l’articolo 28 sia quello che meglio delinea i contenuti di un accordo per il trattamento dei dati. Ad esempio, questo articolo dice con chiarezza che il contratto deve:
- indicare i soggetti coinvolti e la durata del trattamento,
- la natura è la finalità del trattamento,
- il tipo di dati personali coinvolti,
- le categorie di interessati coinvolti,
- le obbligazioni e i diritti del titolare.
Alcune considerazioni conseguenti prevedono, come è logico, che il responsabile del trattamento garantisca l’impegno di riservatezza dei suoi dipendenti, vale dire degli incaricati, da lui designati, e che assuma l’impegno a rispettare appieno le misure di sicurezza del trattamento, come illustrate nell’articolo 30.
Inoltre il responsabile non può fare riferimento a sub responsabili, senza che il titolare abbia dato una autorizzazione specifica per iscritto.
Il comportamento da tenere al termine del rapporto contrattuale può prevedere la cancellazione o la restituzione di tutti i dati, che sono stati trattati durante il rapporto contrattuale.
Altri aspetti che nel contratto devono essere messi in evidenza fanno riferimento alla gestione delle violazioni, che devono essere immediatamente comunicate al titolare, nonché altre clausole, afferenti a possibili salvaguardie in caso di applicazione di sanzioni.
Il fatto che il titolare sia obbligato a comunicare agli interessati, o comunque metter loro a disposizione l’elenco dei responsabili, cui i dati degli interessati sono comunicati, sta creando problemi e sorprese per molte organizzazioni.
Non so quanti lettori abbiano avuto occasione di leggere l’elenco completo dei responsabili, cui Paypal comunica i dati personali dei suoi clienti: stiamo parlando di centinaia di responsabili, sparsi in tutto il mondo!
Un altro approccio che merita attenzione è quello scelto dalla Microsoft, che pubblica sì l’elenco dei responsabili coinvolti, ma avverte che l’inserzione in elenco di un nuovo responsabile avviene almeno qualche mese prima dell’avvio del vero e proprio rapporto contrattuale. L’interessato ha così la possibilità di rendersi conto per tempo di quali soggetti verranno successivamente coinvolti nel trattamento dei suoi dati e potrebbe, ad esempio, decidere di ritirare il proprio consenso al trattamento.
Si tratta tuttavia di una situazione che non sempre le aziende potrebbero affrontare, per i ritardi organizzativi che essa potrebbe comportare.
Assai interessante invece è il fatto che il titolare del trattamento deve riservarsi la possibilità di effettuare dei controlli, degli audit, sull’attività svolta dal responsabile, per essere certo che egli si comporti correttamente. È evidente che una attività di questo genere, anche se piuttosto costosa per il titolare, potrebbe salvarlo da possibili penalità, in quanto permetterebbe di mettere in evidenza tempestivamente possibili anomalie del trattamento, oppure sarebbe prova di un comportamento oltre modo diligente da parte del titolare stesso. Come si vede, l’argomento è alquanto complesso e mi auguro che le linee guida offerte possano aiutare titolare e responsabile nello stipulare un equo contratto, con equa distribuzione delle responsabilità.
Adalberto Biasiotti
Questo articolo è pubblicato sotto una Licenza Creative Commons.
Fonte: puntosicuro.it
