Come scrivere una nomina a responsabile del trattamento dei dati conforme al GDPR? Le indicazioni del Garante

Da un provvedimento dell’Autorità Garante ricaviamo alcune importanti considerazioni su come sviluppare un contratto fra titolare e responsabile del trattamento che sia conforme alle norme. In particolare il Garante, nell’ammonire un’Azienda operante per conto del Comune di Monterotondo, ha messo in guardia rispetto all’uso di modelli generici, nonché di formule riprese pedissequamente Regolamento UE in materia di protezione dei dati personali (GDPR).

IL CASO

Il caso in esame prende le mosse da un reclamo presentato da un interessato, il quale lamentava l’installazione, da parte del Comune, di tre telecamere di videosorveglianza sul suolo pubblico in assenza di idonea cartellonistica volta ad informare i cittadini.

Nell’ambito dell’istruttoria, il Garante rilevava che l’installazione dell’impianto era stata demandata ad una azienda speciale operante in qualità di responsabile del trattamento, ai sensi dell’articolo 28 del GDPR.

CHI È IL RESPONSABILE DEL TRATTAMENTO?

Ricordiamo che l’articolo 4, paragrafo 8, del GDPR fornisce la definizione di “responsabile del trattamento”, ovvero la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Sebbene, a prima vista, la valutazione del ruolo possa sembrare semplice, non bisogna dimenticare che il prestatore di servizi può agire anche in qualità di autonomo titolare del trattamento e che va fatta una valutazione caso per caso, considerando la natura del servizio erogato e le attività concrete svolte dal responsabile nel contesto specifico.

QUALI OBBLIGHI E DOVERI HA IL RESPONSABILE DEL TRATTAMENTO?

Una volta determinati i ruoli delle parti, il GDPR prevede alcuni specifici obblighi in capo al responsabile. Tali obblighi e doveri, insieme alle istruzioni fornite al responsabile dal titolare, vanno formalizzati in un contratto o altro atto giuridico scritto, anche in formato elettronico.

Sebbene l’accordo fra titolare e responsabile del trattamento possa avere un contenuto più ampio di quanto disposto dall’articolo 28 del GDPR, il Comitato Europeo per la Protezione dei Dati (EDPB) raccomanda che gli elementi del contratto volti a dare attuazione all’articolo 28 del GDPR siano chiaramente identificati come tali in un unico punto (ad esempio in un allegato facente riferimento all’articolo sopracitato, ovvero ad un “DPA – Data Processing Agreement”, “Accordo sul trattamento dei dati”).

Infine, il contratto o l’altro atto giuridico deve vincolare il responsabile del trattamento nei confronti del titolare del trattamento e, pertanto, necessita della sottoscrizione di entrambe le parti, affinché sia efficace giuridicamente.

IL CONTENUTO DELLA NOMINA

Come abbiamo visto, il contratto o l’altro atto giuridico di nomina del responsabile va a formalizzare per iscritto gli obblighi attribuiti dal GDPR al responsabile e deve contemplare tutti gli elementi previsti dall’articolo 28, paragrafo 3, del GDPR.

Rinviare ai punti di cui alla norma, tuttavia, non è sufficiente e non rappresenta una prassi conforme al GDPR. Secondo l’EDPB, infatti, l’accordo sul trattamento dei dati non dovrebbe meramente ribadire le disposizioni del GDPR, bensì “prevedere informazioni più specifiche e concrete sul modo in cui saranno soddisfatti i requisiti e sul livello di sicurezza previsto per il trattamento dei dati personali oggetto dell’accordo”. Inoltre, dovrebbe essere redatto tenendo conto della specifica attività di trattamento dei dati, prevedendo tutele mirate a prevenire i rischi derivanti dal caso concreto.

LE INDICAZIONI DEL GARANTE SUL CASO IN ESAME

Proprio in relazione al contenuto dell’accordo, con il provvedimento n. 101 del 22 febbraio 2024, il Garante ha chiarito che il contratto che si limiti a “riportare pedissequamente le previsioni richieste dall’art. 28, par. 3, del Regolamento, senza fare alcun riferimento, in concreto, allo specifico trattamento di dati personali affidato dal titolare al responsabile” non è conforme al GDPR. Nel caso in esame, il Comune, titolare del trattamento dei dati, non aveva impartito al responsabile (l’azienda adibita all’installazione dell’impianto di videosorveglianza) alcuna specifica istruzione in merito al trattamento e alle misure di sicurezza da adottare, né aveva provveduto a verificare che lo stesso avesse controfirmato la nomina.

L’Autorità ha quindi rilevato la non conformità dell’accordo fra le parti e l’illiceità del trattamento dei dati personali.

QUALI CONSEGUENZE IN CASO DI NON CONFORMITÀ DELLA NOMINA DEL RAPPRESENTANTE?

Terminate le indagini e le interlocuzioni con le parti, il Garante ha deciso di non sanzionare ma di limitarsi ad applicare la misura correttiva dell’ammonimento, in considerazione delle particolari circostanze del caso concreto, tali da qualificare la violazione come di portata minore.

È necessario rammentare, tuttavia, che le conseguenze in caso di non conformità possono essere ben più gravi e portare “a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore” (articolo 83, paragrafo 4, GDPR).

Inoltre, dal momento che la responsabilità di garantire l’esistenza di un contratto o di un altro atto giuridico che disciplini il trattamento spetta sia al titolare che al responsabile del trattamento (come chiarito dall’EDPB), le Autorità competenti potranno infliggere una sanzione amministrativa pecuniaria ad entrambe le parti.

Per queste ragioni è essenziale non sottovalutare la gestione dei ruoli privacy ed assicurarsi di implementare adeguate misure per la conformità.

QUALI AZIONI INTRAPRENDERE PER LA CONFORMITÀ?

Fra le principali azioni ricordiamo la necessità di:

  • Personalizzare il contratto / atto giuridico di nomina ex articolo 28 del GDPR, considerando l’attività specifica di gestione dei dati, le circostanze di trattamento ed il caso concreto;
  • Definire chiaramente l’oggetto del trattamento e prevedere istruzioni dettagliate;
  • Specificare il tipo di dati personali e le categorie di soggetti interessati;
  • Specificare la natura e la durata del trattamento dei dati;
  • Indicare le operazioni svolte (per esempio, in caso di videosorveglianza: la “registrazione” e/o la “ripresa di immagini live / in diretta”, l’“archiviazione delle immagini” e/o la mera “consultazione”, la “cancellazione” al termine di 24/48 ore, etc.);
  • Esplicitare le finalità perseguite in modo chiaro, per consentire alle autorità di controllo di valutare i rischi del trattamento affidato al responsabile e l’adeguatezza delle istruzioni fornite;
  • Dettagliare le istruzioni e le misure di sicurezza che il responsabile deve implementare il più accuratamente possibile;
  • Ricordarsi la necessaria sottoscrizione di entrambe le parti.

 

 

Fonte articolo: LaborProject