Responsabili del trattamento , la scelta deve ricadere solo su soggetti che garantiscano misure di sicurezza adeguate

Nel Parere 22/2024 emesso lo scorso 7 ottobre in risposta all’Autorità Danese, l’European Data Protection Board (EPDB) affronta alcune questioni relative a adempimenti del titolare del trattamento (“Titolare”) derivanti dal ricorso di responsabili del trattamento (“Responsabili”) e sub-responsabili del trattamento (“Sub-responsabili”) dando specifico rilievo alle clausole contrattuali che disciplinano tale rapporto.

Nel Parere vengono rafforzati alcuni concetti già noti nella gestione della catena dei fornitori, quali ad esempio l’accountability, la due diligence e il risk assessment, fornendo utili indicazioni agli enti che stanno affrontando attività di adeguamento a NIS 2DORA e AI ACT.

Innanzitutto, l’EDPB sostiene che, in ogni momento e indipendentemente dal rischio connesso all’attività di trattamento, il Titolare dovrebbe essere in grado di identificare tutti coloro che fanno parte della catena dei propri fornitori. Affinché ciò avvenga è necessario che il Responsabile fornisca al Titolare, proattivamente e tempestivamente, tutte le informazioni sulla propria identità (nome, indirizzo, contatto di una persona fisica e relativa posizione lavorativa), e su quella degli eventuali Sub-Responsabili, per i quali dovrà fornire specifiche anche sulle modalità con cui verrà svolta da essi l’attività di trattamento. Invero, queste informazioni agevolano il Titolare in diversi adempimenti, quali, a esempio, informare l’interessato in merito a coloro che accedono ai suoi dati, tenere e aggiornare il registro dei trattamenti, fornire riscontro in caso di esercizio di diritto di accesso dall’interessato e gestire adeguatamente data breach.

Inoltre, l’EDPB ricorda che il Titolare dovrebbe ricorrere unicamente a Responsabili che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate affinché sia rispettato il GDPR e sia garantita la tutela dei diritti degli interessati, e che dovrebbe essere in grado di dimostrare di aver adeguatamente valutato detti Responsabili e Sub-responsabili, nonché di aver prestato la dovuta diligenza nella loro selezione e supervisione, anche quando la catena dei fornitori è lunga e complessa.

A tal fine, il Titolare potrebbe chiedere al Responsabile anche di ricevere documentazione inerente l’oggetto del trattamento incaricato oppure potrebbe sottoporre il Responsabile a periodici audit o questionari per raccoglie ulteriori informazioni e certificazioni utili alla verifica delle garanzie offerte, anche con riguardo ai Sub-responsabili prima di autorizzare il Responsabile a farne ricorso.

Il Titolare potrebbe chiedere al Responsabile anche la copia dei contratti stipulati con i Sub-responsabili per accertarsi che in essi siano state riportate le stesse obbligazioni previste nel contratto tra lo stesso e Responsabile. Invero, anche in linea con l’art. 28 GDPR, l’EDPB suggerisce da una parte che il Responsabile imponga al Sub-responsabile i medesimi obblighi che sono previsti nel contratto con il Titolare, dall’altra parte sottolinea che la richiesta di verifica dei contratti tra Responsabile e Sub-Responsabili non sia un obbligo, ma un mero diritto del Titolare, esercitabile ove effettivamente ciò gli sia utile a provare la propria compliance.

L’EDPB evidenzia altresì che il Titolare è soggetto agli obblighi previsti dal GDPR anche nel caso in cui il trasferimento di dati sia posto in essere da un Responsabile. Infatti, poiché l’iniziale o successivo trasferimento di dati verso un paese terzo lungo la filiera del trattamento può aumentare i rischi derivanti dal trattamento, l’EDPB sottolinea che è importante che il Titolare sia in grado di documentare che sia stata fatta una valutazione in merito alla base giuridica del trasferimento e al rischio a esso connesso, alla mappatura del trasferimento dei dati personali e all’adeguatezza delle misure di scurezza applicate al trattamento, nonché ove applicabile che sia stato svolto un transfer impact assessment e siano state adottate eventualmente misure supplementari, ciò anche sulla base del supporto documentale e informativo di Responsabile e Sub-responsabile esportatori.

Infine, in merito all’obbligo in capo al Responsabile di trattare i dati personali esclusivamente su istruzioni documentate del Titolare, l’EDPB si espone suggendo l’impiego nel contratto tra Titolare e Responsabile di espressioni (sia testualmente che in termini simili) quali “salvo che il trattamento sia richiesto dal diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento” e “a meno che non sia richiesto dalla legge o da un ordine vincolante di un ente governativo”, precisando esse non esonerano il Responsabile dal rispetto dei suoi obblighi ai sensi del GDPR e non sono da intendersi come istruzione scritta del Titolare al Responsabile.

 

Articolo ripreso da FederPrivacy