Il Data Processor? Trattalo responsabilmente!

Antefatto: chi è il responsabile?

Tutto ha principio con una domanda: “Chi è il data processor?”.

E già saper fornire una risposta corretta significa forse essere a metà dell’opera. Anche perché la traduzione “responsabile del trattamento” non è che semplifichi il concetto, ma è sufficiente fissare un elemento operativo: si tratta di un soggetto che svolge in outsourcing alcune attività di trattamento del titolare. E dunque innanzitutto va identificato senza margini di incertezza, così da definirne ruolo e responsabilità.

Le linee guida EDPB 7/2020 indicano due condizioni: (i) essere un soggetto distinto rispetto al titolare del trattamento (ii) trattare dati personali per conto del titolare. Il quale, beninteso, è e rimane il garante dell’operato svolto dal proprio responsabile. A meno che, ovviamente, tale responsabile non disattenda le sue istruzioni iniziando a definire mezzi e finalità propri. In questo caso soltanto risponderà come autonomo titolare, anche e soprattutto in caso di violazioni.

Attenzione, però: il ruolo è sostanziale e non formale. Così come le garanzie e i presidi di compliance da adottare. In tutti gli atti di questa opera, invero tutt’altro che semplice, il DPO, se presente, deve essere coinvolto con una richiesta di parere a riguardo.

ATTO 1: La scelta

Un sacco di cose inizia con una scelta. Da quella più improvvida di cogliere una mela a quella più prudente di mettere il dolcificante nel caffè. Ma ogni scelta genera delle conseguenze.

Così è anche per il titolare nel momento in cui vuole esternalizzare un’attività di trattamento di dati personali. L’art. 28 par. 1 GDPR prevede infatti che questi selezioni come responsabili solo soggetti “che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato.”.

E se questa scelta viene fatta in modo approssimativo, il titolare incorre nella culpa in eligendo per aver scelto un responsabile che non è in grado di garantire il rispetto della normativa in materia di protezione dei dati personali.

In pratica? È obbligo specifico del titolare acquisire le evidenze riguardanti tali garanzie. Ad esempio, analizzando i contratti di servizio che vengono proposti. O inserendo una procedura dedicata nella selezione dei fornitori.

ATTO 2: Le regole del gioco

Chi definisce le regole del gioco? Il titolare. Sì, proprio lui. E il responsabile le segue, come se fossero una sceneggiatura o un copione. Certamente può avere degli spazi propri di decisione, ma il tema principale delle finalità e dei mezzi essenziali del trattamento è scandito esclusivamente dal titolare. Dopodiché il responsabile potrà avere una delega su mezzi non essenziali, e dunque un proprio margine decisionale di matrice operativa.

L’istruzione documentata del responsabile non è né tantomeno deve risultare un atto decorativo. Deve avere i contenuti minimi indicati nell’art. 28 GDPR e una forma scritta, ma questi devono essere riferiti al contesto del trattamento svolto. Dopodiché si richiede che siano fornite in un formato tale da costituire un’evidenza oggettiva durante il corso dello svolgimento del rapporto. Ma se alcune istruzioni violano o rischiano di violare la norma, è dovere del responsabile informare il titolare a riguardo ed interrompere l’attività di trattamento…

In pratica? L’impiego di formule eccessivamente generiche lascia uno spazio di incertezza, e di rischio, in ordine allo svolgimento delle attività di trattamento delegate dal titolare al responsabile. Tanto nelle ipotesi di danno e responsabilità civile quanto in quelle di violazione degli obblighi normativi.

ATTO 3: Quando si è in ballo...

…ovviamente si deve ballare. Anche se la musica l’ha decisa il titolare, il passo è del responsabile e questi deve innanzitutto seguire ciascuna delle istruzioni documentate ricevute. Finché la musica non esaurisce e al termine si conoscono già le sorti dei dati: restituzione, o cancellazione. L’operato del responsabile può – anzi: deve - essere controllato dal titolare mediante audit e ispezioni. Ovviamente i criteri di audit non potranno che riguardare il rispetto del GDPR, il mantenimento delle garanzie prestate, nonché della conformità alle istruzioni ricevute.

Se il titolare non svolge controlli, incorre nella culpa in vigilando nel caso in cui l’operato del responsabile violi il GDPR. A meno che quest’ultimo non abbia scientemente disatteso le istruzioni del titolare e determinato per proprio conto mezzi e finalità proprie di trattamento. In questo caso, risponderà come titolare autonomo ai fini sanzionatori. Attenzione, però: a seconda dei casi, potrebbero comunque essere valutate delle responsabilità in capo ad un titolare “troppo disattento”…

In pratica? L’attività di ispezione e di audit (di seconda o terza parte) svolta dal titolare circoscrive il campo di applicazione ai soli trattamenti delegati al responsabile, nonché alle misure da questi predisposte a riguardo. In ogni caso il possesso di certificazioni può ridurre significativamente i tempi di svolgimento di audit.