Rapporti contrattuali tra titolari del trattamento e responsabili

Il titolare, ove intenda avvalersi anche di responsabili del trattamento, non può compiere una adeguata valutazione di rischio e meno che mai una soddisfacente valutazione di impatto, se non conosce prima non solo le istruzioni che intende impartire al responsabile, ma anche le modalità che in concreto questi adotterà e le misure che utilizzerà per garantire che la parte di trattamento  affidata al responsabile non determini una variazione della valutazione di rischio diversa da quella definita dal titolare.

Inoltre occorre sottolineare che il responsabile è tenuto anche a concorrere col titolare, e ad assisterlo, per quanto riguarda le segnalazioni di data breaches. Questo significa che il contratto o l’atto giuridico vincolante deve porre obblighi chiari al responsabile su tale punto, almeno per la parte di sua competenza, e prevedere anche un dovere specifico di segnalazione tempestiva delle perdite o alterazioni di dati effettuatisi nell’ambito dei trattamenti a lui affidati.

Allo stesso modo anche per i trattamenti già in corso è assolutamente necessario che il titolare proceda, di intesa col responsabile, a una rivisitazione dei contratti in essere.

Questo è indispensabile per effettuare una corretta valutazione del rischio anche rispetto ai trattamenti già in essere, tenendo conto degli impegni contrattuali stipulati col responsabile e, se necessario, modificandone il contenuto. In secondo luogo per verificare che essi contengano obblighi adeguati ad assicurare che il titolare possa tempestivamente segnalare anche perdite di dati verificatesi presso il responsabile.

Ove la rivisitazione dei rapporti contrattuali dovesse dimostrare che gli obblighi del responsabile, sia in termini di sicurezza dei trattamenti sia in termini di misure che il titolare ritiene necessario adottare in ragione dei rischi rilevati, non sono adeguati a quanto previsto dal GDPR, non vi è altra strada che quella di modificare e adeguare il contratto e gli impegni del responsabile verso il titolare o procedere, se possibile bonariamente, a una sua rescissione e alla individuazione di un nuovo responsabile.

Il titolare ha l’obbligo di verificare anche le modalità con le quali opera il responsabile in concreto, e le tutele che assicura ai trattamenti affidati, sotto il controllo del titolare, alla sua organizzazione. Questo è dimostrato chiaramente dal paragrafo quinto dell’art. 28, nella parte in cui prevede esplicitamente che “l’adesione da parte del responsabile del trattamento a un Codice di condotta approvato di cui all’art. 40 o a un meccanismo di certificazione approvato di cui all’art.42, può essere utilizzato come elemento per dimostrare le garanzie sufficienti di cui al paragrafo 1 e al paragrafo 4 del presente articolo”.

I due paragrafi citati sono quelli relativi alla nomina del responsabile e a quelle dei sub-responsabili. Essi precisano che sia il primo che i secondi devono “presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del presente Regolamento e garantisca la tutela dei diritti dell’Interessato”.

La vera innovazione che il GDPR contiene riguardo al rapporto tra titolare e responsabile è che le misure da adottare, dovendo essere sempre basate sulla valutazione dei rischi, implicano che il titolare, nel progettare i trattamenti, debba tener conto anche dei contratti stipulati o in corso di stipulazione con i responsabili.

Il contenuto di questi contratti, dovendo specificare anche le modalità e le misure che il responsabile si impegna ad adottare, costituiscono una componente essenziale della valutazione di rischio che spetta al titolare fare, anche con l’assistenza del responsabile.

E’ inevitabile che spetti al titolare verificare che tanto il contenuto degli impegni contrattuali assunti quanto la concreta attività del responsabile garantiscano misure adeguate.

Non scordiamo che il responsabile deve garantire al titolare non solo di poter corrispondere in modo adeguato ai reclami degli interessati ma anche di esercitare tempestivamente l’obbligo di segnalazione delle data breches all’Autorità di controllo.

Si che il termine di settantadue ore scatta dal momento in cui il titolare viene a conoscenza della perdita o della alterazione dei dati, ma egli deve essere in grado di monitorare costantemente la corretta conservazione dei dati, al fine di poter individuare nel più breve tempo possibile la loro eventuale perdita o alterazione, e pertanto il esponsabile è tenuto ad assistere il titolare anche sotto questo aspetto.

Dunque sarà bene che anche i contratti che hanno per oggetto l’affidamento della conservazione dei dati a soggetti terzi siano “rivisitati” per assicurarsi che il responsabile che gestisce la conservazione dei dati sia tenuto a monitorare costantemente la loro integrità e, ove necessario, avvisare tempestivamente il titolare.

Infatti, il considerando 81 specifica che “ il titolare del trattamento dovrebbe ricorrere unicamente a responsabili che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente Regolamento”.

Questo significa che ben presto almeno la P.A. dovrà prevedere nei bandi di gara tali per cui, chi vuole presentare offerte per lo svolgimento di attività che comportino trattamenti di dati di spettanza dell’Amministrazione che li bandisce, dovrà dimostrare la sua compliance al GDPR, dando prova di avere una organizzazione interna idonea ad assicurare il rispetto di tutta la normativa contenuta nel nuovo Regolamento, compreso il DPO. Non a caso del resto il GDPR prevede possa essere nominato anche dal responsabile per assisterlo pure nella attività che esso svolge come tale.

Per concludere: l’innovazione che il GDPR comporta per quanto riguarda i rapporti tra titolari e responsabili è assai più incisiva di quanto la maggior parte dei commentatori abbia finora sottolineato.

È da prevedere dunque che per le imprese che intendono operare in modo conforme al Regolamento si apra una impegnativa fase di revisione dei contratti in essere, sia che operino quali titolari che come responsabili.

Infine è importantissimo che le imprese abbiano chiaro che la adeguatezza della loro organizzazione interna e delle modalità di svolgimento delle loro attività al GDPR, è essenziale non solo quando operano in qualità di titolare ma anche come responsabili.

Senza la possibilità di dimostrare la propria compliance al Regolamento sarà sempre più difficile alle imprese partecipare alle gare, perché sarà sempre più rischioso per le Amministrazioni e anche per i privati esercenti pubblici servizi, affidare compiti di responsabile di trattamenti dati a chi non rispetti le nuove regole.