Come gestire correttamente la catena di ruoli e responsabilità privacy? Il Parere 22/2024 dell’EDPB

Il Parere 22/2024 dell’EDPB risolve molteplici interrogativi relativi all’applicazione dell’articolo 28 del GDPR, fra cui: il titolare deve identificare tutti i responsabili e sub-responsabili del trattamento? Con che profondità effettuare i controlli sui sub-responsabili? Come verificare concretamente le garanzie fornite dai sub-responsabili? Al tempo stesso, il Comitato fornisce indicazioni utili per formulare correttamente i contratti fra titolare e responsabili del trattamento. Abbiamo predisposto una checklist con le novità del Parere e i controlli da effettuare.

Il Parere 22/2024

Nel corso dell’ultima riunione plenaria, il Comitato europeo per la protezione dei dati (EDPB) ha adottato il Parere 22/2024 “relativo ad alcuni obblighi derivanti dall'affidamento a responsabili del trattamento e sub-responsabili del trattamento”. La pubblicazione del Parere discende dalla richiesta di chiarimenti del 5 luglio 2024, formulata dall’Autorità di controllo danese (a seguire, per semplicità, il “DK SA”) ai sensi dell'articolo 64, par. 2, del GDPR.

Il Parere affronta questioni relative all’interpretazione delle disposizioni dell’articolo 28 del GDPR e, in particolare, gli adempimenti da attuare nel caso in cui un’organizzazione, titolare del trattamento dei dati personali, affidi determinate attività di trattamento a soggetti terzi nominati responsabili o sub-responsabili del trattamento.

Quali questioni? Gli otto quesiti trattati

Il DK SA ha portato all’attenzione dell’EDPB otto quesiti, schematizzati a seguire:

il titolare del trattamento ha l’onere di identificare tutti i suoi sub-responsabili lungo tutta la catena del trattamento, oppure è tenuto solo ad identificare la prima linea di sub-responsabili del trattamento nominati dal responsabile del trattamento?
in che misura e con quale livello di dettaglio il titolare del trattamento deve verificare e documentare:
- l'adeguatezza delle garanzie fornite dai responsabili del trattamento, dai loro sub-responsabili, etc.,
- il contenuto dei contratti tra il responsabile del trattamento iniziale e gli ulteriori responsabili del trattamento,
- se i responsabili del trattamento, i loro sub-responsabili, etc. soddisfano i requisiti del titolare del trattamento?
in caso di trasferimenti o trasferimenti successivi da un sub-responsabile del trattamento a un altro sub-responsabile, in che misura il titolare deve valutare - ed essere in grado di dimostrare - la documentazione dei sub-responsabili del trattamento che attesti che il livello di protezione dei dati personali non è compromesso dai trasferimenti (successivi)?
la portata degli obblighi previsti dall’articolo 28 GDPR varia a seconda del rischio connesso all'attività di trattamento?
in caso affermativo, qual è la portata di tali obblighi per le attività di trattamento a basso rischio e qual è la portata per le attività di trattamento ad alto rischio?
in caso di trasferimenti extra SEE, i contratti redatti ai sensi dell’articolo 28 del GDPR devono obbligatoriamente riportare anche l'eccezione di cui all'articolo 28, paragrafo 3, lettera a), "a meno che non sia richiesto dal diritto dell'Unione o degli Stati membri a cui il responsabile del trattamento è soggetto"?
in caso di risposta negativa, un contatto che estende l’eccezione sopra citata a Paesi terzi all’Unione è ammesso? (ad esempio "a meno che ciò non sia richiesto dalla legge o da un ordine vincolante di un ente governativo");
tale eccezione estesa potrebbe essere interpretata come un'istruzione documentata del titolare del trattamento?

Nel presente articolo ci concentreremo sulle questioni che, più di frequente, sollevano dubbi e interrogativi. In conclusione, abbiamo predisposto una checklist volta a riassumere i punti trattati dall’EDPB e ad agevolare la verifica delle novità previste.

Il titolare deve identificare tutti i sub-responsabili del trattamento?

Per rispondere al primo quesito, l’EDPB evidenzia preliminarmente alcuni aspetti fondamentali:

In primo luogo, la definizione di “responsabile del trattamento” fornita dal GDPR è tale da includere sia il responsabile del trattamento iniziale incaricato direttamente dal titolare del trattamento (ovvero il responsabile di primo livello), sia i sub-responsabili lungo la catena del trattamento;
In secondo luogo, sebbene la catena del trattamento possa essere piuttosto lunga, il titolare del trattamento mantiene il suo ruolo centrale nella determinazione delle finalità e dei mezzi del trattamento.

Ancora, per risolvere i dubbi del DK SA relativi all’identificazione dei sub-responsabili, l'EDPB chiarisce che, nel concetto di “identificazione”, ovvero per identificare correttamente un sub-responsabile, vi rientrano informazioni quali quelle attinenti a nome, indirizzo, referente del sub-responsabile individuato, nome, funzione e recapiti di quest’ultimo, nonché dettagli relativi al trattamento svolto (compresa una chiara definizione delle responsabilità).

Tutto ciò premesso, l’EDPB dispone che, qualora il titolare del trattamento decida di accettare determinati sub-responsabili del trattamento al momento della firma del contratto, un elenco di sub-responsabili del trattamento approvati dovrebbe essere incluso nel contratto o in un suo allegato. L'identificazione di tali soggetti, infatti, è particolarmente importante affinché:

il titolare del trattamento possa avere il controllo sulle proprie attività di trattamento, raccogliere e valutare tutte le informazioni necessarie per soddisfare i requisiti previsti dal GDPR;
il titolare possa adempiere agli obblighi di trasparenza nei confronti degli interessati (cui spetta anche il diritto di accedere alle informazioni relative ai destinatari dei dati). In relazione agli obblighi di trasparenza in capo al titolare, l’EDPB rinvia alla decisione (C-154/2021) con cui la Corte di giustizia dell’UE ha chiarito l'obbligo per il titolare di fornire agli interessati che ne facciano richiesta l'identità effettiva dei destinatari specifici dei dati;
il titolare possa reagire rapidamente alle violazioni dei dati che si verificano lungo la catena di trattamento.

Il ruolo proattivo dei responsabili e dei sub-responsabili

In particolare, nel caso in cui il contratto ex art. 28 GDPR preveda una autorizzazione specifica per poter ricorrere ad ulteriori responsabili del trattamento, il titolare dovrebbe specificare per iscritto quale sub-responsabile del trattamento è autorizzato, per quale specifica attività di trattamento e per quale periodo.

Qualora, invece, il contratto ex art. 28 GDPR preveda una autorizzazione generale, il responsabile del trattamento dovrebbe dare al titolare del trattamento la possibilità di approvare un elenco di sub-responsabili del trattamento al momento della firma dell'autorizzazione generale.

Da ciò si evince che:

le informazioni relative all'identificazione di tutti i sub-responsabili del trattamento dovrebbero essere facilmente accessibili al titolare;
ai responsabili del trattamento spetta un fondamentale ruolo proattivo nel fornire al titolare tutte le informazioni necessarie per conformarsi all’articolo 28 e nel mantenere il titolare aggiornato rispetto a qualsiasi eventuale cambiamento di sub-responsabili.

Il titolare del trattamento e il responsabile del trattamento possono includere nel contratto ulteriori dettagli su come e in quale formato il responsabile del trattamento deve fornire tali informazioni, in quanto il titolare del trattamento potrebbe voler richiedere un formato specifico in modo che sia più facile per il titolare del trattamento recuperarle e organizzarle.

Con che livello di dettaglio verificare l’adeguatezza dei responsabili e sub-responsabili?

Anche per rispondere a questo interrogativo l’EDPB fa una premessa importante: il principio di responsabilità si rivolge al titolare del trattamento, anche quando quest’ultimo ha affidato a responsabili o sub-responsabili il trattamento dei dati personali. Pertanto, ai fini della valutazione della conformità al GDPR, l'intervento di tali soggetti non dovrebbe ridurre il livello di protezione dei diritti degli interessati rispetto a una situazione in cui il trattamento è effettuato direttamente dal titolare del trattamento.

L'articolo 24, paragrafo 1, e l'articolo 28, paragrafo 1, del GDPR, dovrebbero essere interpretati nel senso che impongono al titolare del trattamento di garantire che l’intera catena di trattamento – anche se lunga e complessa - sia composta esclusivamente da responsabili del trattamento, sub-responsabili del trattamento, sub-sub-sub-responsabili del trattamento (etc.) che forniscono “garanzie sufficienti per attuare misure tecniche e organizzative adeguate”. Per questa ragione la selezione dei responsabili del trattamento e la supervisione delle attività svolte dagli stessi, dovrebbe sempre essere attuata dal titolare con la dovuta diligenza.

Il livello di dettaglio nella verifica dell’adeguatezza delle garanzie fornite, invece, dovrebbe essere valutata caso per caso, tenendo conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche, sulla base del tipo di trattamento affidato al responsabile del trattamento.

Come verificare le garanzie di adeguatezza?

Il titolare del trattamento dovrebbe tenere conto di diversi elementi nel verificare le garanzie fornite dai responsabili del trattamento e spesso sarà richiesto uno scambio di documentazione pertinente. “[l">e garanzie 'fornite' dal responsabile del trattamento”, infatti, “sono quelle che il responsabile del trattamento è in grado di dimostrare [e, quindi, documentare, n.d.r."> in modo soddisfacente per il titolare del trattamento, in quanto queste sono le uniche che possono effettivamente essere prese in considerazione dal titolare per dimostrare la conformità agli obblighi” (v. Linee guida EDPB 07/2020, par. 95).

Nessuna delle fonti comunitarie in materia di protezione dei dati personali (né il Regolamento, né l’EDPB/WP29 mediante i propri Pareri e Linee guida) definisce chiaramente un elenco esaustivo dei documenti o delle azioni che il responsabile del trattamento dovrebbe mostrare o dimostrare, poiché ciò dipende in gran parte dalle circostanze specifiche del trattamento. Ad esempio, il titolare del trattamento può scegliere di redigere un questionario come mezzo per raccogliere informazioni dal suo responsabile del trattamento al fine di verificare le garanzie pertinenti, richiedere la documentazione pertinente, fare affidamento su informazioni e/o certificazioni pubblicamente disponibili o relazioni di audit di terzi affidabili e/o eseguire audit in loco.

La verifica delle garanzie dipende dal livello di rischio?

Come sappiamo il GDPR non contiene una definizione di “rischio” o di “analisi dei rischi”, tuttavia tale concetto viene richiamato diverse volte nel testo del Regolamento (pensiamo, ad esempio, agli articoli 24, 25, 32, 35 e relativi consideranda).

Il rischio associato all'attività di trattamento svolge, infatti, un ruolo essenziale nel determinare l'adeguatezza delle misure tecniche e organizzative che il titolare è tenuto ad adottare. A seconda del livello di rischio associato ad uno specifico trattamento (ad esempio, se vengono raccolti dati particolari o se le attività svolte coinvolgono una larga scala di soggetti interessati), il titolare del trattamento può definire di implementare misure tecnico-organizzative più o meno estese. Le misure così definite dal titolare impattano, inevitabilmente, anche su ciascun responsabile del trattamento individuato.

Pertanto, l’EDPB specifica che la profondità nella verifica delle garanzie varierà a seconda della natura delle misure organizzative e tecniche determinate dal titolare in base, tra gli altri criteri, al rischio associato al trattamento. A seconda del rischio associato all'attività di trattamento, il titolare modificherà il livello dei controlli effettuati sui responsabili nominati. Ad esempio, laddove le attività di trattamento presentino un rischio basso per i diritti e le libertà degli interessati, le misure organizzative e tecniche considerabili “adeguate” saranno meno rigorose e la portata dei controlli svolti dal titolare sui responsabili e sub-responsabili sarà di conseguenza meno ampia.

Il titolare ha l’obbligo di verificare anche i contratti con i sub-responsabili?

Dal precedente quesito del DK SA discende un ulteriore interrogativo: il titolare deve obbligatoriamente verificare e documentare che i contratti di sub-trattamento impongano gli stessi obblighi agli ulteriori responsabili del trattamento?

L’articolo 28, par. 4 del GDPR, infatti, prevede che il responsabile del trattamento iniziale trasferisca gli stessi obblighi di protezione dei dati nei contratti di sub-trattamento che stipula con altri responsabili. Allo stesso modo, gli ulteriori responsabili del trattamento saranno contrattualmente tenuti (dal responsabile del trattamento iniziale) a imporre gli stessi obblighi in materia di protezione dei dati ai propri responsabili, e così via lungo la catena di trattamento.

"L'imposizione degli "stessi" obblighi”, specifica l’EDPB, “dovrebbe essere interpretata in modo funzionale piuttosto che formale: non è necessario che il contratto includa esattamente le stesse parole utilizzate nel contratto tra il titolare del trattamento e il responsabile del trattamento, ma dovrebbe garantire che gli obblighi in sostanza siano gli stessi”.

L’EDPB chiarisce che il titolare del trattamento non ha l'obbligo di richiedere sistematicamente i contratti di sub-trattamento per verificare la presenza di tale clausola. Tuttavia, sarebbe opportuno che il titolare:

valutasse, caso per caso, se la richiesta di una copia dei contratti possa tornare utile o essere necessaria in accountability. Ad esempio, in caso di dubbi sulla conformità del responsabile o del sub-responsabile, nel caso in cui il responsabile o sub-responsabile abbia subito un data breach, etc.
nel contesto dell’esecuzione di campagne di audit, prevedesse verifiche a campione estese anche alla contrattualistica utilizzata.

I requisiti contrattuali

Come abbiamo visto, dal Parere esaminato si ricavano alcune fondamentali azioni necessarie al fine di verificare e di garantire la conformità dei contratti predisposti ai sensi dell’articolo 28 del GDPR. Dalle informazioni identificative relative alla catena di soggetti responsabili, alla frequenza e al flusso di informazioni richieste dal titolare al responsabile, sino ad arrivare ai criteri di scelta degli ulteriori responsabili in caso di autorizzazione generale.

Se sei un professionista della privacy o un DPO e intendi associarti, clicca qui per ulteriori informazioni e per aderire.

Altre news

L’obbligo di formazione privacy si estende ai responsabili nominati: le indicazioni del Garante.

Il caso Hera CommL’istruttoria del Garante nei confronti di Hera Comm S.p.A. (a seguire, per semplicità, “Hera” o la [...]

Italia: Pubblicato in Gazzetta Ufficiale il Decreto Legislativo 4 settembre 2024, n. 138, per il Recepimento della Direttiva UE sulla Cibersicurezza

Il 1 ottobre 2024, con la pubblicazione nella Gazzetta Ufficiale Serie Generale n. 230, è entrato ufficialmente in vigore il Decreto Legislativo 4 [...]

L’importanza di configurare correttamente i cookie: sanzionata una banca per 1,3 milioni di euro

Il marketing mirato sui siti webll marketing mirato rappresenta una delle principali strategie pubblicitarie sul web. Attraverso specifici strumenti è [...]

75 milioni di dollari pagati per un ransomware: come evitare breach milionari?

Dalla cifratura all’esfiltrazioneGli attacchi ransomware rappresentano una delle minacce piu’ temute per la cybersecurity delle aziende, sia per le [...]