Il ricorso all’outsourcing è molto frequente nell’organizzazione di attività sia all’interno di aziende private che nelle pubbliche amministrazioni, ma quando ciò implica un flusso di dati personali, è necessario che il committente e il fornitore esterno disciplinino i loro rapporti ai sensi dell’art.28 del GDPR.
Dal 25 maggio 2018 è infatti scattato l’obbligo di stesura di un esteso numero di clausole. Si tratta di un’incombenza particolarmente rigorosa, considerato che l’incompleta o l’inadeguata stesura del contratto con il responsabile esterno del trattamento prevede sanzioni con un massimo edittale di 10 milioni di euro (o, se superiore, il 2% del fatturato annuo).
Il responsabile del trattamento è definito dal GDPR come la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del titolare del trattamento.
L’art.28 del Regolamento Europeo stabilisce che “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato”. Il responsabile deve quindi possedere determinate competenze ed avere dunque una formazione specifica.
Il Regolamento sancisce che l’esecuzione dei trattamenti da parte del responsabile sia disciplinata da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile al titolare del trattamento. Detto atto giuridico ai sensi dell’art.28 del GDPR dovrà prevedere che il responsabile del trattamento:
- tratti i dati personali soltanto su istruzione documentata del titolare del trattamento;
- garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- adotti tutte le misure richieste ai sensi dell’articolo 32;
- rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
- tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
- assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36;
- su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento
- metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28.
Di conseguenza lo stesso accordo tra titolare e responsabile del trattamento deve avere un fondamento giuridico in quanto deve essere oggetto di contratto o altro atto giuridico che preveda tutta una serie di obblighi del responsabile che dipende direttamente dal titolare.
E’ evidente, quindi, che il responsabile del trattamento collabora concretamente con il titolare per la creazione di quelle condizioni tecniche e organizzative necessarie per l’adempimento dell’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato, assumendo peraltro determinate responsabilità derivanti dalla stipula di un accordo contrattuale.
Tra i vari obblighi, inoltre, il Regolamento pone a carico del responsabile, ma anche del titolare del trattamento, l’obbligo di conservazione della documentazione di tutti i trattamenti effettuati sotto la propria responsabilità.
L’art. 28 del Regolamento chiarisce inoltre che “quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente Regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile”.
Avv. Federica Spuri Nisi