Quando abbiamo esaminato la figura del Responsabile del trattamento, abbiamo sottolineato come quest’ultimo tratti dati personali per conto del Titolare e come rivesta un ruolo molto importante nel contesto della riservatezza e della sicurezza dei trattamenti.

Lo sviluppo tecnologico dell’informazione e della comunicazione ha amplificato, negli ultimi anni, la tendenza sempre più diffusa all’esternalizzazione dei servizi e al subappalto. Da qui il proliferare di una molteplicità di enti, imprese e attività che forniscono ad altri operatori l’opportunità di ricorrere a operazioni, programmi e servizi esterni. Tali servizi dovranno essere attentamente valutati anche dal punto di vista della tutela del trattamento dei dati, dal momento in cui le responsabilità del trattamento devono essere chiaramente definite ed effettivamente applicate.

fornitori di servizi

Il professionista o l’azienda che inviano un messaggio di posta elettronica contenente dati personali per mezzo di un servizio appositamente dedicato, devono essere considerati titolari del trattamento, mentre il fornitore del servizio opererà, relativamente ai dati trasmessi, solo come responsabile del trattamento. Discorso diverso dev’essere fatto con riferimento ai dati del traffico e alla fatturazione del servizio prestato, che saranno valutati sotto l’aspetto della titolarità in capo all’operatore delle comunicazioni.

Allo stesso modo un provider di servizi hosting su Internet sarà, in linea di principio, considerato un responsabile del trattamento dei dati personali pubblicati on line dai propri clienti.

Ciò che preme rilevare è che, ai sensi dell’Art. 28 del GDPR, “qualora un trattamento debba essere effettuato per conto del Titolare, quest’ultimo ricorre unicamente a responsabili che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate”, per far sì che il trattamento soddisfi i requisiti normativi di cui al Regolamento stesso.

E’ dunque, in primo luogo, necessario che il Titolare verifichi se il responsabile cui vuole delegare alcune operazioni di trattamento presenti le garanzie necessarie. Dopo di che, dovrà verificare che i trattamenti svolti da parte del responsabile siano “disciplinati da un contratto o da un altro atto giuridico vincolante”.

I contratti per il trattamento dei dati personali

I contratti per il trattamento dei dati personali stipulati tra Titolare e Responsabile dovranno regolamentare i seguenti aspetti:

  • materia e durata del trattamento;
  • natura e finalità del trattamento;
  • tipo di dati personali trattati;
  • categorie degli interessati;
  • obblighi e diritti del Titolare del trattamento.

Tali contratti (che non sono, si badi bene, “mere” nomine, ma veri e propri accordi) andranno stipulati per iscritto e dovranno prevedere che il responsabile:

  1. tratti i dati personali soltanto su istruzione documentata del Titolare;
  2. garantisca che le persone autorizzate al trattamento si siano impegnate alla riservatezza;
  3. adotti le misure di sicurezza esaminate nella sesta uscita (www.veryfastpeople.it/autorizzati-e-designati-al-trattamento-dei-dati);
  4. sia stato debitamente autorizzato a eventuali sub appalti del servizio;
  5. assista il Titolare con misure tecniche e organizzative adeguate, al fine di soddisfare il generale obbligo di dare seguito e risposta alle richieste degli interessati, anche in caso di eventuali incidenti nel trattamento dei dati;
  6. cancelli, se richiesto, i dati trattati per conto del Titolare;
  7. metta a disposizione del Titolare tutte le informazioni necessarie per dimostrare l’osservanza degli obblighi imposti dal GDPR.

In rete sono disponibili tantissimi esempi e modelli del “contratto ai sensi dell’art. 28 del GDPR”. Tuttavia, il consiglio che ci sentiamo di fornire è quello di esaminare attentamente le singole e specifiche esigenze del Titolare, rispetto alle operazioni demandate all’eventuale Responsabile. Non sono, infatti, affatto infrequenti casi e ipotesi di commistioni di attività che potrebbero essere diversamente qualificate.

Il Titolare accorto, qualora fosse in dubbio, farebbe bene a chiedere una consulenza a un esperto, senza fidarsi troppo e solo del “dott. Google”.

Alla prossima settimana!

Avv. Andrea Broglia