La nomina è obbligatoria in forza di un contratto o altro atto giuridico vincolante
Per garantire che siano rispettate le norme del Regolamento UE 679/2016 in relazione ai trattamenti che i responsabili devono eseguire per conto del titolare, il Legislatore Europeo ha previsto che l’esecuzione dei compiti del responsabile venga disciplinata da un contratto o da un altro atto giuridico “a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.
La nomina quindi non è meramente facoltativa ma obbligatoria in forza di un contratto o altro atto giuridico vincolante.
Procediamo per gradi.
Il primo suggerimento è quello di elaborare check list e atti di nomina quanto più pertinenti e adeguati:
- al rapporto che si viene ad instaurare con il responsabile al trattamento,
- al tipo di dati trattati (personali, particolari e giudiziari),
- alle tipologie di soggetti interessati
- e alle finalità di trattamento,
tenendo sempre conto che tramite l’accordo giuridico sottoscritto, il titolare delega al responsabile la concreta gestione del trattamento dei dati affidati dall’interessato.
Il Regolamento UE 679/2016, nello specifico ha introdotto con l’art. 28 una serie di adempimenti formali e sostanziali che il titolare del trattamento deve porre in essere al fine di gestire correttamente il rapporto con qualsiasi responsabile del trattamento di cui si avvale.
Il predetto articolo 28 peraltro, al paragrafo 6 prevede che un’Autorità di controllo possa suggerire un corpo contrattuale standard al fine di garantire la tutela dei titolari del trattamento e, quindi, indirettamente degli interessati.
Ciò è avvenuto con l’opinione n. 14/2019 dell’European Data Protection Board in merito alla proposta di clausole contrattuali dell’autorità di controllo danese.
In particolare l’autorità danese suggerisce di formare un testo contrattuale costituito anche da un indice iniziale e da un preambolo, ove indicare che le clausole contenute nell’accordo prevalgono rispetto ad eventuali diversi accordi inerenti gli stessi temi.
L’autorità danese si concentra poi sulle istruzioni “documentate” che il titolare è tenuto ad impartire al responsabile (art. 28, par. 3, lett. a). Le clausole proposte disciplinano anche il caso in cui il Titolare impartisca istruzioni in violazione della normativa (cfr. art. 28 GDPR, par. 3, lett. g). In tal caso il responsabile non deve porre in essere tali istruzioni, informando il titolare del trattamento.
Rispetto all’art. 28 del GDPR, par. 3, lett. b), in tema di riservatezza viene consigliato di indicare le persone autorizzate al trattamento in un apposito elenco, soggetto a periodica revisione.
Per applicare compiutamente le misure di cui all’art. 32 GDPR l’autorità danese suggerisce inoltre che il titolare fornisca al responsabile tutte le informazioni necessarie per identificare e valutare i rischi connessi al trattamento. Il responsabile deve altresì assistere il titolare affinché questi sia costantemente in linea con la vigente normativa, informandolo delle misure adottate e, se necessario, su come implementarle.
Relativamente ai sub responsabili, oltre a poter pattuire di inoltrare più richieste, volta per volta, per ogni singolo sub responsabile designato si potrebbe prevedere un’autorizzazione generale che facoltizzi il responsabile a ricorrere a sub responsabili. In tal caso, tuttavia, l’elenco dei sub responsabili dovrebbe essere incluso anche solo in appendice al contratto e dovrebbe essere costantemente aggiornato.
Si suggerisce inoltre di convenire in favore del titolare la facoltà di opposizione motivata nel qual caso non ritenga idoneo un sub responsabile.
E’ bene poi pattuire che le medesime clausole che vincolano il responsabile siano vincolanti anche tra responsabile e sub responsabili, indicando altresì che il responsabile del trattamento risponde dell’operato dei sub responsabili, manlevando il titolare al riguardo.
Troppo spesso titolari e responsabili al trattamento sottovalutano suddette disposizioni senza interessarsi minimamente di come, in caso di utilizzo di altro responsabile al trattamento, la filiera del dato non si ferma ai loro obblighi e responsabilità ma va costantemente tenuta sotto controllo nel rispetto della fiducia concessa dall’interessato.
Non dimentichiamo che l’interessato è sempre pronto ad esercitare i propri diritti e che la possibilità di un evento di violazione dei dati personali, cosiddetto data breach, non è così remota come si pensi.
Dunque, una corretta gestione del flusso del dato e degli adempimenti richiesti dalla normativa permette al titolare e al responsabile di agire tempestivamente e di non trovarsi impreparati di fronte a situazioni che vanno gestite prontamente.
Sul trasferimento di dati verso paesi terzi, si suggerisce di pattuire che il responsabile del trattamento possa trasferire dei dati verso paesi terzi solo previa istruzione documentata del titolare, adottando una specifica appendice contrattuale per eventuali clausole e/o autorizzazioni generali relative al trasferimento.
Specifiche clausole vengono poi indicate relativamente all’assistenza che il responsabile deve al titolare del trattamento in caso di esercizio dei diritti da parte dell’interessato ovvero in caso di data breach, disciplinando nel dettaglio le modalità. La stessa cosa dicasi per la notifica di violazione dei dati personali, pattuendo che il responsabile debba comunicare al titolare l’avvenuta violazione dei dati entro un numero di ore predeterminato e da indicarsi nell’atto giuridico vincolante, riservando una specifica appendice contrattuale per definire pattiziamente tutte le informazioni che il responsabile dovrebbe comunicare.
L’atto di designazione, inoltre, non può prescindere da specifiche pattuizioni sulla cancellazione o restituzione dei dati al termine del rapporto contrattuale, indicando se i dati vadano eliminati, imponendo al responsabile in tal caso di certificare di averlo fatto o se, invece, vadano restituiti eliminando le copie esistenti, salva l’esigenza di conservare tali dati in adempimento di obblighi normativi.
Vanno infine ovviamente disciplinate le modalità di audit e di ispezione, dedicando se necessario apposite clausole per eventuali accordi specifici su altri aspetti, sul termine di efficacia del contratto, nonché sull’elezione di uno specifico domicilio digitale e sulle indicazioni dei contatti per la corrispondenza da scambiarsi in corso di esecuzione del contratto.
Indubbiamente l’iniziativa dell’autorità di controllo danese costituisce un valido supporto per tutti gli operatori nel redigere nomine a responsabile del trattamento dei dati personali rispondenti ai requisiti indicati nel GDPR.