Come gestire il Responsabile del trattamento ai sensi del GDPR
Il Responsabile del trattamento, ai sensi dell’art. 28 del Regolamento UE 679/2016 (GDPR), è una figura molto ostica da gestire nell’ambito di un adeguamento della gestione della privacy di un’organizzazione italiana.
Moltissimi punti del GDPR definiscono prescrizioni applicabili ai titolari e/o ai responsabili del trattamento, ovvero alle figure che hanno determinate responsabilità nel trattare dati personali. Altri soggetti identificati dal GDPR (contitolari, “titolari autonomi” e soggetti autorizzati al trattamento) o sono riconducibili ad essi oppure hanno responsabilità di gran lunga inferiori.
Il considerando 81 introduce il ruolo del Responsabile del Trattamento:
(81) Per garantire che siano rispettate le prescrizioni del presente regolamento riguardo al trattamento che il responsabile del trattamento deve eseguire per conto del titolare del trattamento, quando affida delle attività di trattamento a un responsabile del trattamento il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento. L’applicazione da parte del responsabile del trattamento di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare il rispetto degli obblighi da parte del titolare del trattamento. L’esecuzione dei trattamenti da parte di un responsabile del trattamento dovrebbe essere disciplinata da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare del trattamento, in cui siano stipulati la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, tenendo conto dei compiti e responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato. Il titolare del trattamento e il responsabile del trattamento possono scegliere di usare un contratto individuale o clausole contrattuali tipo che sono adottate direttamente dalla Commissione oppure da un’autorità di controllo in conformità del meccanismo di coerenza e successivamente dalla Commissione. Dopo il completamento del trattamento per conto del titolare del trattamento, il responsabile del trattamento dovrebbe, a scelta del titolare del trattamento, restituire o cancellare i dati personali salvo che il diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento prescriva la conservazione dei dati personali.
Successivamente l’articolo 28 ne disciplina il rapporto con il titolare e le relative condizioni.
In questi oltre due anni di applicazione del GDPR si sono viste diverse forme di “nomina” del responsabile del trattamento da parte del titolare. Spesso tali nomine venivano rifiutate dal fornitore responsabile, che non voleva assumersi tali oneri, con motivazioni inconsistenti. Purtroppo anche alcune linee guida, check-list, questionari ed anche app sul GDPR hanno fornito indicazioni fuorvianti sull’applicabilità di questa figura. Alla domanda: “determini le finalità ed i mezzi del trattamento?” molti rispondono “sì” e pertanto anche l’algoritmo più autorevole risponde “sei titolare del trattamento”. Invece la situazione è un po’ diversa. Laddove si verifica un outsourcing, un’esternalizzazione, di attività che comportano anche il trattamento di dati personali, allora si configura un rapporto fra un titolare del trattamento ed un responsabile che esegue “per conto del titolare”, un trattamento di dati personali.
Molte organizzazioni hanno, purtroppo, voluto “smarcare” in modo troppo rapido questo punto del GDPR, secondo una moda del tutto italiana: della serie “prepariamo le nomine ai responsabili del trattamento e mandiamogliele…” poi se nessuno risponderà a tali istanze, pazienza!
Spesso si è trascurato il fatto che il titolare
“ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente Regolamento e garantisca la tutela dei diritti dell’interessato”.
Dunque, prima di effettuare una nomina, occorre verificare che il fornitore/responsabile sia affidabile dal punto di vista della protezione dati. Come? Ad esempio tramite un questionario da somministrare al fornitore per poter verificare che stia applicando i principi e le regole del GDPR e che abbia implementato misure di sicurezza, tecniche ed organizzative, adeguate a tutelare i dati personali che gli facciamo trattare. Nella maggior parte dei casi tali dati personali si riferiscono a dipendenti e clienti del titolare, pertanto presentano alcune criticità, se si dovessero perdere i requisiti di riservatezza, integrità e disponibilità degli stessi.
Molte organizzazioni saltano questo punto, ma allora come dimostrano che il responsabile del trattamento fornisce adeguate garanzie lato privacy? Spesso si tratta di rapporti consolidati da anni, mai messi in discussione. Ora la mancata risposta ad un questionario ed il rifiuto (magari non palese, ma semplicemente “dimenticandosi” di rispondere all’istanza ed ai solleciti) di sottoscrivere la c.d. nomina espone il titolare a importanti responsabilità sui dati affidati all’esterno. In caso di problemi (ispezioni del Nucleo Privacy della Guardia di Finanza, Data Breach, reclami di interessati) il titolare non è in grado di dimostrare di aver agito “responsabilmente”, contravvenendo al principio di accountability (art. 5, comma 2 del Regolamento UE 679/2016).
Teniamo presente che il rapporto tra titolare e responsabile “deve essere disciplinato da un contratto”, dunque a rigore non si tratta solo di “nominare” il responsabile esterno, ma di stabilire – con un atto a valenza contrattuale – quali sono le condizioni per il trattamento di dati personali da parte del responsabile. Dunque, le soluzioni sono due:
- Si predispone una nomina del responsabile sottoscritta da entrambe le parti, che fa riferimento al contratto già esistente (es. per rapporti consolidati) che integra e che deve contenere gli elementi richiesti dal Regolamento UE 679/2016, oppure
- Si definisce un nuovo contratto fra le parti che disciplini anche la gestione dei dati personali.
A seconda delle competenze professionali di chi lo ha redatto, questa nomina, accordo o contratto per il trattamento dei dati personali, può essere di un paio di pagine o di parecchie pagine scritte in “legalese” e, pertanto, di difficile comprensione da parte del fornitore, che potrebbe essere diffidente di fronte ad un articolato complesso..
Bisognerebbe discutere a lungo sull’utilità reale di stipulare contratti di responsabile del trattamento molto lunghi e ricchi di clausole che potrebbero risultare ostiche al responsabile ed indurlo a non firmarlo. D’altro canto, si vedono nomine o contratti da responsabile che riportano essenzialmente solo quanto riportato dal Regolamento UE 679/2016 all’art. 28, ma bisognerebbe altresì capire cosa significa pretendere che il responsabile adotti misure di sicurezza “adeguate” (per chi?) o si attenga alle “istruzioni del titolare” (quali?).
Nella catena delle subforniture che si inquadrano come rapporti fra titolare e responsabile è difficile pensare che un fornitore responsabile del trattamento debba assoggettarsi a misure specifiche determinate da ogni titolare del trattamento suo cliente. Pensiamo, ad esempio, a studi di consulenza del lavoro o centri di elaborazione paghe, a fornitori di servizi informatici quali software in cloud e così via, che hanno decine di clienti. Per questo motivo si è verificato che molti di questi soggetti hanno proposto in maniera unilaterale un proprio accordo di trattamento dei dati personali che li individua come responsabili. A questo punto il titolare/cliente si vede portato ad accettare quanto proposto dal fornitore/responsabile, che dovrà comunque essere in linea con quanto stabilito dal GDPR ed è comunque opportuno verificare che le condizioni non siano troppo favorevoli al responsabile del trattamento.
Come anticipato sopra, nel contratto da responsabile del trattamento, o nomina che dir si voglia, si dovrà comunque prescrivere al fornitore l’adozione di misure di sicurezza adeguate, ma quali sono queste misure adeguate? Adeguate per chi? Per il fornitore/responsabile o per il titolare/cliente?
Torniamo alla “qualifica” preliminare del fornitore che può essere ispirata alla normativa ISO 9001 ed ai sistemi di gestione per la qualità. A seconda di quello che sarà il trattamento effettuato dal fornitore potremmo valutare le misure di sicurezza intraprese da esso per proteggere i dati personali oppure di imporgli delle nostre misure in qualità di titolare del trattamento. Facciamo qualche esempio. I tipici casi di trattamenti effettuati esternamente nelle imprese italiane sono:
- Elaborazione paghe e consulenza del lavoro
- Tenuta della contabilità e consulenza fiscale
- Fornitura di software e servizi in modalità Saas (software as a service), compresa la gestione di siti web
- Fornitura di servizi cloud.
Le ultime due situazioni hanno poi diverse variazioni sul tema, spesso i programmi software gestionali sono installati in modalità client/server su Server interni all’azienda, ma tenuti sotto controllo dal fornitore che può fare qualsiasi cosa, anche da remoto.
Naturalmente possono verificarsi situazioni più critiche in settori particolari, ad esempio quello della sanità pubblica e privata.
Le misure di sicurezza che chiederemo al consulente del lavoro o allo studio di commercialisti dovranno riguardare sia la sicurezza fisica ed ambientale degli archivi cartacei (e degli storage ove sono memorizzati i nostri dati), sia la sicurezza informatica per proteggere i dati da accessi non autorizzati. Dunque, potremmo richiedere al fornitore se e come applica determinate misure di sicurezza, ad esempio, per quanto riguarda la sicurezza fisica e le misure di sicurezza organizzative:
- Archivi chiusi a chiave fuori dall’orario di lavoro;
- Sistema di allarme ed eventuale videosorveglianza;
- Designazione dei soggetti autorizzati/incaricati al trattamento con obbligo di riservatezza;
- Formazione del personale;
- Tecniche di pseudonimizzazione;
- Ecc.
Mentre per quanto riguarda la sicurezza informatica dovremo chiedere se sono applicate le seguenti misure di sicurezza:
- Accesso ai dati con credenziali di autenticazione univoche;
- Profilazione degli utenti nei sistemi informatici per garantire l’accesso solo alle informazioni necessarie;
- Gestione delle password (segretezza, cambio al primo accesso e periodicamente, complessità delle password, ecc.);
- Sistemi anti-malware su tutti i dispositivi;
- Firewall hardware e software ed eventuali altri sistemi antintrusione;
- Sistemi di cifratura dei dati;
- Procedure di backup/restore ed eventuale disaster recovery garantito anche da copie in remoto;
- Nomina degli amministratori di sistema;
- E così via.
Poi naturalmente si pone il problema dei software utilizzati dal fornitore per elaborare i nostri dati (dati personali dei dipendenti, dei clienti, dei fornitori…). Occorrono le nomine dei sub-responsabili del trattamento (o “altri responsabili”) con garanzie analoghe a quelle sopra esposte, dal punto di vista ICT, che devono essere ribaltate sul fornitore del software.
Nel caso in cui il nostro fornitore sia un fornitore di servizi ICT occorre altresì essere garantiti su tutta la catena di fornitura del software e dei servizi ICT, compresi eventuali servizi cloud di terze parti.
In questo caso, oltre alla valutazione sulle misure di sicurezza adottate dal fornitore del software e dei servizi di assistenza ad esso correlati (accesso ai nostri dati con credenziali univoche, gestione delle password, utilizzo di anti-malware e firewall quando i tecnici del fornitore accedono ai nostri database con dispositivi propri e così via) occorrerebbe valutare le caratteristiche del software che acquistiamo o che abbiamo “noleggiato”: soddisfa il requisito di privacy by design e privacy by default? Si apre un altro capitolo che potrebbe non riguardare strettamente il contratto/accordo da responsabile del trattamento, se il software è stato acquistato o dovrà essere acquistato dall’azienda. Viceversa, le forniture di software e servizi SaaS, PaaS, IaaS, ecc. rientrano generalmente nel contratto per il trattamento di dati personali.
Ad esempio, a differenza di un software di tipo client/server installato in azienda ed accessibile solo dall’interno di essa, per un software in cloud dovremmo richiedere misure di sicurezza aggiuntive per garantirci da accessi fraudolenti (autenticazione a due fattori, numero massimo di login falliti oltre il quale viene bloccato l’account, complessità minima della password…).
In questo quadro si colloca anche l’eventuale nomina degli Amministratori di Sistema, che sono figure non disciplinate dal GDPR (sebbene costituiscano una misura di sicurezza), ma dalla normativa privacy italiana, in base ad una disposizione ancora in vigore. Normalmente chi opera in qualità di Amministratore di Sistema, se esterno all’organizzazione, ricopre anche il ruolo di responsabile del trattamento (come persona giuridica).
Veniamo, infine, all’atto di nomina del responsabile del trattamento che – come anticipato sopra – potrebbe essere un atto integrativo del contratto tra le parti oppure potrebbe essere compreso nel contratto stesso revisionato. In esso devono essere regolamentati i seguenti punti:
- Materia disciplinata;
- Durata del trattamento;
- Natura del trattamento;
- Finalità del trattamento;
- Tipo di dati personali;
- Categorie degli interessati;
- Misure di sicurezza adottate;
- Istruzioni operative.
Premesso che – in caso di nomina o atto integrativo rispetto al contratto preesistente – alcuni dei suddetti punti potrebbero e dovrebbero essere già disciplinati dal contratto (ad es. materia disciplinata, durata del contratto, ecc.), occorre precisare che:
- Il tipo di dati personali trattati può essere esplicitato in forma generale, ad es. dati personali comuni o dati particolari, dati anagrafici, dati di natura fiscale, dati relativi alla salute e così via; senza scendere in un dettaglio che poi sarebbe difficile mantenere aggiornato,
- Le categorie degli interessati possono essere dipendenti, clienti, fornitori, potenziali clienti o contatti commerciali, e così via.
- Le misure di sicurezza potrebbero essere richiamate da un questionario o check-list preliminare compilata a monte dal fornitore ed accettata dal cliente oppure potrebbero essere definite esplicitamente in un allegato o altro documento condiviso fra le parti, tenendo presente che potrebbero essere soggette ad aggiornamento per evolversi della tecnologia o altro.
- Le istruzioni operative potrebbero essere disciplinate nel dettaglio, eventualmente a partire da uno schema come segue.
- Trattare i dati suddetti per le sole finalità indicate;
- Predisporre e mantenere aggiornato un registro dei trattamenti – se previsto – in conformità all’art. 30 del Regolamento UE 679/2016;
- Valutare i rischi che incombono sui dati trattati sopra riportati;
- Adottare le idonee misure di sicurezza, tecniche ed organizzative, per garantire la riservatezza, l’integrità e la disponibilità dei dati trattati;
- Nominare ed istruire adeguatamente il personale incaricato del trattamento dei dati sulle procedure da adottare e sulle misure di sicurezza;
- Garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- Vigilare sulla puntuale osservanza, da parte degli incaricati del trattamento dei dati, delle disposizioni di legge e delle proprie istruzioni, anche tramite verifiche periodiche;
- Assistere il titolare del trattamento – tenendo conto della natura del trattamento – con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III “Diritti dell’interessato” del Regolamento UE 679/2016;
- Assistere il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del Regolamento UE 679/2016, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
- Su scelta del titolare del trattamento, cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento in oggetto e cancellare le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione di tali dati;
- Mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’articolo 28 del Regolamento UE 679/2016 e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato;
- Comunicare al titolare del trattamento le misure tecniche d organizzative adottate per garantire la sicurezza dei dati, in particolare riguardo alle misure di sicurezza informatica (gestione delle credenziali di autenticazione, procedure di backup e restore, protezioni contro il malware, ecc.), eventuale nomina di un Amministratore di Sistema, misure di sicurezza fisica, eventuale nomina di un Responsabile della Protezione dei Dati (RPD o DPO, Data Protection Officer).
Sulla questione di eventuali sub-responsabili l’elenco approvato potrebbe essere gestito a parte in modo più efficiente, ma il problema più rilevante è quello legato ai dati in cloud, ovvero dove sono i datacenter? Quali misure di sicurezza garantiscono? Dispongono di certificazioni?
Sulla territorialità in UE o fuori UE con adeguate garanzie la responsabilità rimane del titolare del trattamento si possono riscontrare diversi problemi in prima istanza nascosti. Senza voler entrare troppo nel merito di quest’argomento, molto articolato, si può precisare il fatto che il cliente deve sapere dove il fornitore archivia i suoi dati personali, ovvero quelli di cui è titolare.
Infine, il Titolare dovrebbe avere il diritto di effettuare un audit sul responsabile del trattamento per verificare il rispetto del contratto, in assenza di certificazioni specifiche del responsabile ai sensi del GDPR (ad es. ISPD©10003) o comunque che offrono adeguate garanzie sulla sicurezza delle informazioni (ISO 27001, ISO 27701). Il responsabile del trattamento non potrebbe sottrarsi a tale obbligo. Su quest’ultimo aspetto e su quant’altro riportato nell’atto di nomina del responsabile è bene non dimenticare che il titolare del trattamento è il cliente ed il fornitore nominato responsabile dovrebbe essere sostituito se non adempie a quanto previsto dal GDPR, ovvero certi rapporti contrattuali non devono per forza proseguire se non forniscono adeguate garanzie sul trattamento dei dati personali in conformità al GDPR.