Cos’è e cosa deve contenere l’atto di nomina a responsabile del trattamento? È obbligatorio?
Torno a fare chiarezza sulla figura del responsabile del trattamento dei dati personali, una delle novità più significative introdotte dal Regolamento europeo sulla Protezione dei Dati Personali (GDPR).
Nello specifico analizzo come dev’essere regolamentato il suo rapporto con il titolare del trattamento, visto che spesso non è chiaro quale sia la forma corretta e quale responsabilità genera l’atto di nomina.
Nel mondo dell’ecommerce, è facile imbattersi nell’esternalizzazione di alcuni servizi utili alle performance di un business, ma cosa succede quando per prestare questi servizi è necessario trattare dati personali?
Vediamo, dunque, quando è obbligatorio l’atto di nomina a responsabile del trattamento dei dati, chi deve farlo e con quale strumento.
Indice
| Obbligo nomina responsabile del trattamento dati esterno: quando è previsto dal GDPR
Secondo quanto stabilito dall’art.4 del GDPR, l’articolo del Regolamento che da una definizione puntuale di tutti gli elementi e i soggetti coinvolti nei processi privacy, il responsabile del trattamento dei dati personali è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo, che tratta dati personali per conto del Titolare del trattamento”.
Da queste definizione è chiaro che, ogni qualvolta che un soggetto esterno presta un servizio all’azienda o persona giuridica Titolare del trattamento che implica un trattamento di dati personali, è obbligatorio nominare questo soggetto esterno responsabile del trattamento.
Ecco alcuni esempi di responsabile del trattamento dell’ambito dell’e-commerce.
Se l’e-commerce affida la gestione dell’advertising in ambiente Meta (Facebook, Instagram, ecc..) o Google (Google Ads) o la gestione dell’email marketing a un freelance oppure ad una agenzia di web marketing specializzata, allora in quel caso il freelance o l’agenzia è responsabile del trattamento dell’e-commerce. Oppure, banalmente, la società di logistica per le spedizioni a cui l’e-commerce si affida è responsabile del trattamento.
Per svolgere questo servizio, il soggetto esterno ha accesso a dati personali raccolti dal Titolare e li tratta per suo conto, di conseguenza questo rapporto dev’essere regolato da un atto di nomina.
Allo stesso tempo, chi tratta i dati per conto di terzi soggetti deve avere interesse a stipulare un atto di nomina, non solo per delimitare i confini della sua responsabilità, ma per rendere addirittura lecito il suo trattamento dei dati personali.
Infatti, senza un apposito atto di nomina a responsabile del trattamento, il trattamento dei dati personali sarà considerato illecito, con il conseguente rischio di sanzioni previste dal GDPR per violazione della privacy.
| Chi nomina il responsabile del trattamento dei dati
Quindi, è compito del titolare del trattamento nominare il responsabile del trattamento dei dati personali con un apposito atto di nomina a responsabile del trattamento, chiamato anche Data Processing Agreement (DPA).
Anche con la nomina, è il titolare del trattamento che “determina le finalità e i mezzi del trattamento” (art.4 del GDPR), dando indicazioni specifiche alla risorsa esterna su come deve trattare i dati che lui ha raccolto.
Nelle organizzazioni più complesse può essere prevista la figura del Responsabile Privacy (o Privacy Manager) ossia un collaboratore interno all’azienda (in genere una figura dirigenziale esperta) che ha la responsabilità materiale di organizzare, dirigere e monitorare i processi privacy, coadiuvando o sostituendo il Titolare sulla base di un contratto di lavoro subordinato. In questo caso, uno dei compiti del Privacy Manager può essere proprio quello di redigere l’atto di nomina del responsabile del trattamento, fermo restando che le responsabilità nei confronti di terzi restano in capo al Titolare.
In alternativa, l’atto di nomina a responsabile del trattamento può essere demandata ad un legale esperto, nell’ambito di una consulenza sulla privacy e il GDPR.
| Atto di nomina a responsabile del trattamento dei dati personali: è un contratto? Cosa deve includere?
Ma come dev’essere redatto l’atto di nomina a responsabile del trattamento dei dati personali?
Nell’art. 28 del GDPR troviamo le risposte.
L’articolo parte tracciando il profilo del responsabile del trattamento, che deve essere un soggetto che offre “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.”
A tal proposito l’adesione da parte del responsabile del trattamento a un codice di condotta approvato o a un meccanismo di certificazione approvato (artt. 40 e 42) può essere utilizzata come elemento per dimostrare le garanzie sufficienti.
Nel comma 3 è specificata la forma dell’atto di nomina: deve necessariamente essere stipulato un contratto scritto tra le parti (o altro atto giuridico con uguale valenza) che deve essere contenuto all’interno del contratto principale con cui viene assegnato l’incarico di prestazione del servizio o allegato ad esso.
Proseguendo è delineato il contenuto minimo che deve includere l’atto di nomina a responsabile esterno del trattamento:
- oggetto del contratto;
- durata del trattamento;
- natura e finalità del trattamento;
- tipologia di dati personali trattati;
- soggetti e categorie di interessati;
- (eventuale) responsabile per la protezione dei dati o DPO
- (eventuale) nomina di sub responsabili;
- istruzioni del Titolare del trattamento;
- gestione della fine del rapporto e cancellazione dei dati.
In generale, nelle istruzioni bisogna prevedere che il responsabile del trattamento assista il Titolare nell’ottemperampento dei suoi obblighi, compreso quello di redigere il registro delle attività di trattamento, dare seguito a eventuali richieste per l’esercizio dei diritti degli interessati, che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza e al rispetto della privacy e che il responsabile del trattamento non ricorra a un altro responsabile senza previa autorizzazione scritta del Titolare del trattamento.
| Nomina del sub-responsabile del trattamento
La nomina di un Sub-Responsabile al trattamento è dunque possibile, ma a determinate condizioni.
Se un responsabile del trattamento ricorre a un altro soggetto per l’esecuzione di specifiche attività che implicano il trattamento di dati personali (sempre per conto del Titolare del trattamento) questo rapporto deve essere regolamentato allo stesso modo del contratto “originale” e previa autorizzazione del Titolare stesso.
Quindi deve conservare sempre la forma di contratto (o di un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri) e prevedere le garanzie di adeguatezza del soggetto coinvolto, resta in capo al “primo” Responsabile del trattamento l’intera responsabilità nei confronti del Titolare sull’adempimento degli obblighi del Sub-Responsabile.
| Quali responsabilità genera l’atto di nomina del responsabile e chi è sanzionabile
Nel caso in cui venga cagionato un danno nei confronti di un interessato da un trattamento in seguito al mancato rispetto del Regolamento UE, la responsabilità ricade in capo al Titolare del trattamento o al Responsabile del trattamento?
C’è confusione anche su questo punto, anche se a dire il vero l’art. 82 del GDPR parla chiaro: il Titolare del trattamento risponde per il danno cagionato, il Responsabile del trattamento risponde per il danno causato solo se non ha adempiuto gli obblighi del GDPR o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare.
Così avviene la ripartizione delle responsabilità tra titolare del trattamento e responsabile, ma resta fermo il fatto che il Titolare del trattamento o il responsabile del trattamento sono esonerati se dimostrano che l’evento dannoso non gli è in alcun modo imputabile.
| Nomina responsabile trattamento fac simile: una bad practice
Chi pensa che per redigere l’atto di nomina del responsabile del trattamento basti un fac simile o un PDF scaricabile gratuitamente sul web che semplifichi e includa pedissequamente le prescrizioni dell’art. 28 del GDPR è lontano dalla soluzione.
Uno dei punti cardine del Regolamento è proprio il principio di accountability, di cui all’art. 24, un principio di matrice europea che si basa sul concetto di “responsabilizzazione” dei Titolari del trattamento a cui, piuttosto che imporre attività specifiche, si lascia la libertà di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nonché la valutazione dei rischi e le azioni per prevenirli, proprio perché ogni trattamento è differente da un altro e gli impatti negativi sulle libertà e i diritti delle persone possono essere molto differenti a seconda della situazione.
Infatti dall’Autorità Garante è richiesto un atteggiamento proattivo da parte dei Titolari, un impegno concreto che deve sostanziarsi in una serie di attività specifiche e dimostrabili e non in documenti formalmente corretti ma sostanzialmente privi di qualsiasi significato.
| Perché affidarsi a Ecommerce Legale
Proprio per questa ragione l’atto di nomina del Responsabile del trattamento dei dati personali non può essere una mera formalità.
Per rispettare la compliance ed evitare di essere sanzionati, soprattutto nelle realtà più strutturate e complesse, è necessario l’intervento di un legale competente in materia di privacy e GDPR.
Contattaci per studiare la tua “filiera del dato” e approfondire la situazione specifica che riguarda il rapporto con il Responsabile al trattamento, la tipologia di dati e di soggetti interessati e le finalità per cui sono trattati.
Floriana Capone
L’Avvocato dell’Ecommerce
