Responsabile del trattamento: il suo potere negoziale e le implicazioni di accountability del titolare
2024-2-22 01:46:42 Author: www.cybersecurity360.it(查看原文) 阅读量:7 收藏

GDPR

Nel contesto della gestione dei dati personali nei processi di esternalizzazione, due figure chiave sono il responsabile e il titolare del trattamento. Esaminiamo, in un “accordo di trattamento”, il potere negoziale del primo e le implicazioni di responsabilità e accountability del secondo

Pubblicato il 21 Feb 2024

C

Giovanni Crea

Università Europea di Roma, Docente e consulente in materia di protezione dei dati personali

Z

Paola Zanellati

Consulente Privacy

L’esternalizzazione (outsourcing), da parte di un’organizzazione, di una o più fasi di un processo (e degli eventuali trattamenti di dati personali) deriva da decisioni di opportunità legate alla considerazione che quelle fasi non descrivono le proprie core activities e con riguardo alle quali, pertanto, l’organizzazione ha una scarsa o assente autonomia gestionale dovuta a una mancanza di risorse interne (organizzazione, competenze, strumenti). Sul piano regolamentare, la pratica dell’outsourcing va formalizzata attraverso un “negozio/mandato”, ad esempio un contratto di appalto di opere o servizi[1].

Nella generalità dei casi le attività esternalizzate integrano trattamenti di dati personali che, ai sensi dell’art. 28 del Regolamento (UE) 2016/679 (GDPR), devono essere regolati attraverso un “accordo di trattamento” tra le parti (data protection agreement) contenente le istruzioni stabilite dall’ente appaltante – titolare del trattamento – affinché i trattamenti oggetto di accordo siano svolti dall’appaltatore – responsabile del trattamento – in modo conforme al predetto regolamento.

Con riguardo a questo aspetto, rileva osservare come, nella prospettiva del GDPR – secondo la quale il contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri vincola il responsabile del trattamento al titolare del trattamento – l’istruzione integri un significato di input operativo del titolare del trattamento verso il responsabile del trattamento in ragione di un modello organizzativo in cui il responsabile del trattamento occupa una posizione di preposizione rispetto al titolare del trattamento.

Per questo, la prassi del Garante per la protezione dei dati personali, in linea con il quadro normativo di riferimento, attribuisce al titolare del trattamento la “responsabilità generale” dei trattamenti che egli abbia posto in essere direttamente o indirettamente per il tramite di soggetti esterni[2] – responsabili del trattamento – operanti per suo conto ai sensi dell’art. 4.8), GDPR.

Ricade, pertanto, sul titolare del trattamento l’onere di attuare un modello organizzativo e gestionale contraddistinto da misure effettive ed efficaci di protezione dei dati che siano comprovabili (accountability)[3].

Il responsabile del trattamento: potere negoziale e ruolo cruciale

Il responsabile del trattamento è una figura spesso sottovalutata ma di grande importanza nell’ecosistema della protezione dei dati. Questa figura è responsabile dell’elaborazione dei dati personali per conto del titolare del trattamento.

Elimina gli errori nella contabilizzazione con l’automatizzazione

Il responsabile del trattamento può essere un’azienda o un individuo, ed è coinvolto in una serie di attività legate alla gestione dei dati, come l’archiviazione, l’analisi e la trasmissione dei dati.

Una delle caratteristiche più importanti del responsabile del trattamento è il suo potere negoziale. Spesso, il titolare del trattamento è alla ricerca di un partner di fiducia che possa gestire i dati personali in conformità con le leggi sulla privacy.

Il responsabile del trattamento, quindi, ha la possibilità di negoziare contratti e accordi che stabiliscano le modalità di elaborazione dei dati. Questo potere negoziale può essere sfruttato per garantire che tutte le parti coinvolte rispettino le normative sulla privacy e mettano in atto misure di sicurezza adeguate.

Implicazioni di responsabilità e accountability per il titolare del trattamento

Il titolare del trattamento è il soggetto che determina gli scopi e i mezzi del trattamento dei dati personali. In virtù di questa posizione di autorità, il titolare del trattamento assume un alto grado di responsabilità e accountability.

In base al GDPR, il titolare del trattamento è tenuto a garantire che il trattamento dei dati personali avvenga in conformità con le leggi sulla privacy. Ciò significa che il titolare del trattamento deve adottare misure tecniche e organizzative adeguate a proteggere i dati personali da accessi non autorizzati e violazioni della sicurezza. In caso di violazione dei dati, il titolare del trattamento è tenuto a notificarla all’Autorità Garante e, in alcuni casi, anche agli interessati.

Inoltre, il titolare del trattamento deve selezionare responsabili del trattamento affidabili e garantire che essi rispettino gli obblighi di protezione dei dati. Questa responsabilità include l’attuazione di controlli e procedure di monitoraggio per assicurare la conformità.

Questione dell’applicabilità dell’art. 28.3 del GDPR

L’esperienza riguardante gli accordi di trattamento e i relativi profili di compliance ci riporta le criticità che emergono, sotto il profilo dell’enforcement, nei casi – non infrequenti – in cui il titolare del trattamento mostra un potere negoziale notevolmente inferiore rispetto al responsabile del trattamento in ragione della dimensione e della posizione di mercato di quest’ultimo nonché delle ‘regole’ che discendono dal proprio modello organizzativo e gestionale – routine interne, rapporti consolidati con i propri fornitori (sub-responsabili del trattamento) – e dalle competenze e correlate scelte in materia di misure di sicurezza informatica.

Un siffatto squilibrio nel rapporto “titolare-responsabile” può avere implicazioni sotto il profilo della compliance con riguardo agli accordi di trattamento di cui all’art. 28.3, GDPR; nel concreto, tali accordi possono risentire dell’influenza esercitata dal responsabile del trattamento nella misura in cui questo tende a introdurre clausole definite in modo pressoché unilaterale contenenti condizioni non pienamente conformi alla normativa in materia di protezione dei dati.

Sotto altro profilo, rileva osservare come lo sbilanciamento nel potere negoziale dal lato del responsabile del trattamento operi, con effetto inibitorio, sul controllo che il titolare del trattamento dovrebbe esercitare su tutti gli “anelli” della catena del trattamento – che mediano l’attività del titolare del trattamento – che si viene a determinare con l’esternalizzazione dei trattamenti[4].

A tal riguardo, il Garante ha sottolineato l’obbligo in seno al titolare del trattamento dell’adozione di misure efficaci che consentano allo stesso di monitorare sia le attività svolte dai responsabili del trattamento (compresi i sub-responsabili) per le proprie finalità sia l’acquisizione di dati da distinti titolari del trattamento (fornitori di banche dati, list provider).

Ad esempio, nei casi Enel Energia e B&T-Dorelan il Garante ha contestato ai titolari del trattamento, tra gli altri profili, una carenza informativa con riguardo all’individuazione dei soggetti destinatari dei dati personali, nonché l’impossibilità per gli interessati di esercitare i propri diritti, in particolare i diritti di accesso e opposizione al trattamento.

Profili, questi, che sono apparsi legati alla mancata qualificazione dei ruoli e alla numerosità dei soggetti coinvolti nel trattamento, e per i quali non è valsa la dichiarazione della società Enel Energia dell’impossibilità del controllo di soggetti che si inseriscono abusivamente nella propria filiera dei trattamenti né, tanto meno, quella di B&T di ritenersi estranea al ruolo di titolare del trattamento[5].

Il caso “Caffeina Media”

Nell’ambito dell’attività istruttoria avviata dal Garante nei riguardi della Società “Caffeina Media S.r.l.” – azienda che fornisce servizi di marketing – l’Autorità ha valutato, tra gli altri profili, il rapporto con la Società Google con riguardo al trattamento di dati personali degli utenti del sito www.caffeinamagazine.it effettuato da Caffeina Media S.r.l. per il tramite di Google e del servizio Google Analytics[6].

All’epoca dell’istruttoria il trattamento aveva finalità meramente statistiche, essendo volto a ottenere informazioni aggregate sull’attività degli utenti all’interno del sito informativo.

Con riguardo a questo specifico profilo, posto che Caffeina Media (titolare del trattamento) ha designato Google responsabile del trattamento ai sensi dell’art. 28 del GDPR, dall’istruttoria sono emersi elementi da cui si deduce una incapacità gestionale del titolare del trattamento sia con riguardo alle istruzioni sui trattamenti delegati che dovrebbero essere fornite al responsabile del trattamento sia sotto il profilo del controllo della filiera delle attività di trattamento.

A tal riguardo, l’istruttoria del Garante ha messo in luce che il titolare del trattamento “non ha né visibilità del dettaglio dei dati raccolti, né può precisamente descriverne le tipologie”, e che lo stesso titolare “è vincolat[o] al testo contrattuale [“Google Analytics Terms of Service”] approvato in piattaforma (testo standard imposto dal fornitore Google)” e “come emerge dalla documentazione contrattuale imposta da Google, Google agisce in qualità di responsabile del trattamento dei dati raccolti tramite Google Analytics”.

Peraltro, nell’ambito dell’accordo di trattamento il potere di Google si è esplicato anche attraverso la previsione di trattamenti di trasferimento dei dati verso la propria sede statunitense ove l’unità Google LLC avrebbe operato in qualità di sub-responsabile del trattamento a supporto di Google.

Con riguardo a tali trasferimenti, che hanno rappresentato l’oggetto del reclamo sulla base del quale è stata avviata l’attività istruttoria del Garante, Caffeina Media ha dichiarato di “non [possedere] alcun livello di autonomia in merito alle scelte relative ai trasferimenti di dati verso Paesi terzi, ivi inclus[a] l’identificazione delle tipologie di dati oggetto del predetto trasferimento”, né di “sapere se i dati del reclamante sono stati effettivamente trasferiti verso paesi terzi”.

All’esito dell’attività istruttoria e dell’esame della documentazione acquisita nel corso della stessa le osservazioni del Garante si sono appuntate sulla titolarità della Società Caffeina Media con riguardo ai trattamenti di tracciamento delle interazioni degli utenti con il sito web (mediante cookies trasmessi al browser degli stessi utenti) nonché ai trattamenti di trasferimento dei dati dei visitatori del suddetto sito verso Google LLC con sede negli Stati Uniti; tali ultimi trattamenti, come rilevato dal Garante, sono in partenza (per impostazione predefinita) previsti con l’uso dello strumento Google Analytics da parte dei gestori dei siti web (“Alla luce di quanto complessivamente rilevato, si evidenzia dunque che l’utilizzo di GA, da parte dei gestori dei siti web − quale Caffeina Media S.r.l. − comporta il trasferimento dei dati personali dei visitatori dei suddetti siti verso Google LLC con sede negli Stati Uniti.”)[7].

Anche in tale occasione, il Garante ha ribadito che spetta sempre al titolare del trattamento il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali nel rispetto della normativa rilevante in materia di protezione dei dati personali.

Il Regolamento, infatti, pone con forza l’accento sulla “responsabilizzazione” del titolare, ossia, sull’adozione di comportamenti proattivi volti alla concreta adozione di misure tecniche e organizzative finalizzate ad assicurare e dimostrare l’applicazione della disciplina di protezione dei dati personali (si veda, in particolare l’art. 24 del GDPR)[8].

Il principio della responsabilità generale del titolare del trattamento

Il GDPR ha introdotto il principio di responsabilizzazione del titolare del trattamento (art. 5.2) che stabilisce la competenza di questa figura con riguardo alla compliance del trattamento dei dati personali allo stesso regolamento compresa la sua dimostrazione (accountability).

In altre parole, il titolare del trattamento è il centro di imputazione delle scelte in tal senso effettuate attraverso gli opportuni strumenti di accountability e dei rischi residui legati a tali scelte.

Il GDPR annovera, pertanto, la responsabilità generale del titolare del trattamento tra i princìpi fondamentali del trattamento; in ragione di tale principio il titolare è tenuto a esercitare la competenza di cui viene investito – compliance e accountability – anche con riguardo agli accordi di trattamento di cui all’art. 28.3 del GDPR, indipendentemente dal potere negoziale delle parti.

Sotto questo aspetto, il predetto principio integra un vincolo di enforcement per il titolare del trattamento che, nella prospettiva dei Garanti degli Stati membri (EDPB), esclude l’accettazione di clausole e condizioni contrattuali compilate dal responsabile del trattamento che non siano conformi alla normativa in materia di protezione dei dati, nonché l’esonero dello stesso titolare dai relativi obblighi[9].

Sul punto, merita osservare come le linee guida dell’EDPB non valutino di per sé problematico che il contratto di trattamento sia redatto dal prestatore di servizi (responsabile del trattamento), ma sottolineano il dovere del titolare del trattamento di impiegare “unicamente responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate”, in modo tale che i trattamenti affidati all’esterno soddisfino i requisiti del regolamento anche con riguardo ai profili di sicurezza e garantiscano la tutela dei diritti degli interessati[10].

Il titolare del trattamento deve pertanto valutare i termini contrattuali sotto il profilo della compliance, essendo il responsabile del rispetto del regolamento[11].

Conclusioni

L’esperienza dell’outsourcing dei trattamenti di dati personali ha messo in luce un ruolo della parte appaltatrice (outsourcer) che la normativa in materia di protezione dei dati personali qualifica come “responsabile del trattamento” ai sensi degli artt. 4.8) e 28 del GDPR, il cui rapporto giuridico con il titolare del trattamento (outsourcee) implica una condizione di “preposizione”: il titolare del trattamento (preponente) affida al responsabile del trattamento (preposto), a mezzo di formale nomina, la gestione di alcune attività di trattamento di dati personali – e solo quelle – stabilite nell’accordo di trattamento, esercitando il potere direzionale (ossia le decisioni) con riguardo alle finalità e ai mezzi e modalità del trattamento.

Peraltro, dalla stessa esperienza emerge come il predetto rapporto giuridico non trovi un’applicazione de plano là dove il concreto atteggiarsi delle parti mostra uno squilibrio di potere contrattuale in cui prevale quello del responsabile del trattamento; in tale circostanza, l’outsourcer, pur assumendo tale ruolo, tende a imporre uno standard agreement non modificabile o con possibilità di modifica estremamente limitate.

D’altro canto, il gruppo dei Garanti degli Stati membri, già nel vigore del precedente quadro normativo (Direttiva 95/46/CE), ha sottolineato come il predetto squilibrio non possa giustificare l’accettazione, da parte del titolare del trattamento, di clausole e condizioni poste dal responsabile del trattamento che non siano conformi al quadro normativo in materia di protezione dei dati personali[12]; né possa costituire una ragione sufficiente per un un’attribuzione artificiale del ruolo di titolare del trattamento al fornitore di servizi.

La posizione del board europeo resta evidentemente ferma sulla pretesa della conformità degli accordi di trattamento al quadro normativo di riferimento, rappresentato dall’art. 28 del GDPR, in tal modo suggerendo ai titolari del trattamento una “strategia di enforcement” fondata sul principio di responsabilizzazione (anche) del responsabile del trattamento.

Sotto questo profilo, la predetta strategia dovrebbe essere supportata da un’attività di sensibilizzazione di questa figura – anche da parte dell’autorità di controllo – con riguardo alla sua collocazione nella catena delle responsabilità che si viene a determinare con l’esternalizzazione dei trattamenti e ai suoi doveri di dimostrazione (accountability del responsabile del trattamento)[13].

Stante il primato della finalità del GDPR della protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali, non vanno escluse, in ultima analisi, soluzioni di hard enforcement che possano orientare i titolari del trattamento verso outsourcer virtuosi con riguardo alle predette finalità.

Il potere negoziale del responsabile del trattamento e le implicazioni di responsabilità e accountability del titolare del trattamento sono elementi chiave nella gestione dei dati personali e nella conformità alle leggi sulla privacy.

La collaborazione tra queste due figure – che è anche una questione di “cultura della data protection” – è essenziale per garantire la protezione dei dati personali e il rispetto delle normative. Entrambi devono lavorare in sinergia per creare un ambiente in cui i dati personali sono trattati in modo responsabile e sicuro, garantendo la privacy e altri diritti degli interessati.

 

NOTE

  1. L’appalto è un contratto con il quale una parte (appaltatore) assume, con organizzazione dei mezzi necessari e con gestione a proprio rischio, il compimento di un’opera o la prestazione di un servizio in favore dell’altra parte (ente appaltante, committente) verso un corrispettivo in danaro.

  2. Cfr. Gdpr, considerando (74).

  3. Tra i più recenti provvedimenti, si veda Garante per la protezione dei dati personali, Provv. n. 427/2023, Axpo Italia S.p.A., in Reg. Provv., 28 settembre 2023, par. 4.1. Provv. n. 181/2023, Sorgenia S.p.a., in Reg. Provv., 14 aprile 2023, par. 2.2.

  4. Cfr. Garante per la protezione dei dati personali, Provv. n. 181/2023, Sorgenia S.p.a., cit., par. 2.2.

  5. Cfr. Garante per la protezione dei dati personali, Provv. n. 443/2021, Enel Energia, in Reg. Provv., 16 dicembre 2021; Provv. n. 413/2021, B&T S.p.A., Reg. Provv., 25 novembre 2021. Con riguardo a questi aspetti, sia consentito il rinvio a G. Crea, Il controllo della filiera dei trattamenti, https://www.selefor.com/il-controllo-della-filiera-dei-trattamenti/, 1 aprile 2022.

  6. Cfr. Garante per la protezione dei dati personali, Provv. n. 224/2022, Caffeina Media S.r.l., in Reg. Provv., 9 giugno 2022, par. 2.1, ove si legge che “Google Analytics è uno strumento di web analytics fornito da Google ai gestori di siti internet che consente a questi ultimi di analizzare dettagliate statistiche sugli utenti nell’ottica di ottimizzare i servizi resi e di monitorare le proprie campagne di marketing.”.

  7. Cfr. Garante per la protezione dei dati personali, Provv. n. 224/2022, cit., par. 2.1.

  8. Cfr. Garante per la protezione dei dati personali, Provv. n. 224/2022, cit., par. 2.4.

  9. Cfr. Edpb, Linee guida a 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, 7 luglio 2021 (punto 108 e ss.), 36 ss.

  10. Cfr. Edpb, Linee guida a 07/2020, cit., (punto 94), 34.

  11. Cfr. Edpb, Linee guida a 07/2020, cit., (punto 110), 37.

  12. Cfr. Gruppo di lavoro articolo 29 per la protezione dei dati, Parere 1/2010 sui concetti di “responsabile del trattamento” e “incaricato del trattamento”, 16 febbraio 2010, 27.

  13. Il Gdpr, al considerando (79), afferma che “[l]a protezione dei diritti e delle libertà degli interessati così come la responsabilità generale dei titolari del trattamento e dei responsabili del trattamento, anche in relazione al monitoraggio e alle misure delle autorità di controllo, esigono una chiara ripartizione delle responsabilità ai sensi del presente regolamento, compresi i casi in cui un titolare del trattamento stabilisca le finalità e i mezzi del trattamento congiuntamente con altri titolari del trattamento o quando l’operazione di trattamento viene eseguita per conto del titolare del trattamento.”. Sul punto si veda anche Cfr. Edpb, Linee guida a 07/2020, cit., (punto 112), 37.

Abilitazione al cloud: migrazione, gestione delle applicazioni e sicurezza. Rendi più potente l'IT

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/legal/privacy-dati-personali/responsabile-del-trattamento-il-suo-potere-negoziale-e-le-implicazioni-di-accountability-del-titolare/
如有侵权请联系:admin#unsafe.sh