Rispetto alla precedente normativa privacy, il GDPR ha reso più vincolante e precisa la definizione dei ruoli privacy assunti dai vari soggetti che trattano dati personali quali:
- titolari
- contitolari
- responsabili
- sub responsabili
- rappresentanti
e richiede la loro formalizzazione con specifici contratti od altri documenti di analogo valore.
La corretta individuazione e definizione di tali ruoli privacy non è tuttavia così scontata, semplice e univoca e può riservare numerose incognite.
Inoltre, in alcuni casi, è possibile individuare fra quelle disponibili, le soluzioni più idonee in particolare per quanto attiene le attribuzioni di responsabilità.
Ma andiamo con ordine.
Indice degli argomenti
I ruoli privacy: il titolare del trattamento
Innanzitutto, a differenza degli altri, il ruolo di titolare non viene attribuito da un atto formale; un soggetto che determina le finalità e i mezzi del trattamento assume automaticamente il ruolo di titolare.
Non hanno quindi alcun senso le designazioni di un soggetto quale titolare di trattamento, mentre diverso è il caso in cui due o più soggetti, titolari di trattamento, determinano congiuntamente le finalità e i mezzi del trattamento, assumendo il ruolo di contitolari del trattamento.
Consigli per costruire correttamente il proprio modello privacy
Altro concetto importante è che troppo spesso un soggetto che tratta dati personali (ad esempio l’azienda A) pensa di operare solo come titolare e quindi costruisce il proprio modello privacy e le proprie relazioni esterne partendo da questa accezione.
In particolare, con tale modello i soggetti esterni che partecipano al trattamento (ad esempio l’azienda B) saranno di norma designati quali responsabili di trattamento (salvo che operino a loro volta come autonomi titolari).
Tale modello è ovviamente assolutamente corretto e legittimo, ma cosa succede se il nostro titolare (azienda A) effettua successivamente dei trattamenti per conto dell’azienda X, titolare di trattamento, sempre avvalendosi del responsabile (azienda B)?
Tale caso si può presentare più frequentemente di quanto ci si possa immaginare.
Ad esempio, quando una capo gruppo (azienda A) che si avvale di una società designandola responsabile di trattamento (azienda B), quale piattaforma informatica per la gestione del proprio personale, inizia successivamente a trattare i dati anche del personale di un’altra società del gruppo (ad esempio l’azienda X) e per tale motivo viene a sua volta nominata responsabile da tale azienda.
È evidente che in tale contesto la società (azienda B) assumerà un doppio ruolo.
Continuerà ad operare come responsabile per la capo gruppo, ma diventerà un sub responsabile per conto della azienda X; si evidenzia che la formalizzazione di tale doppio ruolo compete alla capo gruppo.
Si pongono al riguardo una serie di problematiche non banali.
La prima è che il contratto con il soggetto esterno dovrà essere aggiornato o duplicato, nel senso che un contratto, già in essere, riguarderà il suo ruolo quale responsabile, ed un altro contratto riguarderà il suo ruolo quale sub responsabile (nel caso dell’esempio per lo stesso tipo di finalità di trattamento).
La seconda è che in realtà il sub responsabile non ha gli stessi vincoli e responsabilità di un responsabile nei confronti di un titolare (e quindi del “proprietario” dei dati).
Questo secondo aspetto è per lo più sottovalutato e poco presidiato.
Nei contratti di designazione a responsabile viene infatti data molta enfasi al fatto che non vi siano troppi vincoli nel poter ricorrere a sub responsabili, ma poco si riflette sul fatto che i sub responsabili non rispondono nei confronti del titolare, in quanto tale attribuzione spetta unicamente al responsabile.
È infatti quest’ultimo che risponde nei confronti del titolare sia per sé, sia per i sub responsabili che ha designato.
Nel caso in specie, quindi, se la nostra capo gruppo è stata particolarmente attenta nel formalizzare la designazione nei confronti del responsabile (azienda B), in modo tale da essere adeguatamente tutelata sia dal punto di vista della conformità, sia dal punto di vista del rischio di richiesta di risarcimento danni da parte dei soggetti tutelati (“chiunque” secondo quanto prevede l’art. 82 del GDPR) tale tutela non si estende ai trattamenti posti in essere dall’azienda B in quanto sub responsabile.
Infatti, nel momento in cui il soggetto esterno opera come sub responsabile, anche se la normativa prevede che contrattualmente la sua designazione abbia gli stessi vincoli di quella di un responsabile:
“Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento”.
Non di meno, in caso di inadempienza sarà la capo gruppo a rispondere nei confronti dell’azienda X:
“Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile”.
Ecco, quindi, che per i trattamenti (analoghi o diversi a seconda dei casi) per i quali il soggetto esterno opera come sub responsabile, diventa ancora più importante una corretta valutazione delle sue reali capacità di rispettare le indicazioni fornite nel contratto di designazione.
In altre parole, ricorrere ad un sub responsabile espone il soggetto che ha effettuato la designazione a rischi che devono essere attentamente valutati e che, nella situazione descritta, sono troppo spesso trascurati o del tutto ignorati.
Anzi, molto spesso non si ha nemmeno l’avvertenza di considerare che il soggetto esterno (nell’esempio la società che gestisce la piattaforma informatica) riveste due distinti ruoli, ritenendo a torto, che sia sufficiente la sua designazione quale responsabile.
Ma è possibile individuare una soluzione meno rischiosa per il titolare (la capo gruppo nell’esempio) rispetto alla designazione dell’azienda B quale sub responsabile?
La risposta è affermativa ed in realtà era l’unica soluzione possibile con la precedente normativa.
Sebbene sia sicuramente più laboriosa e più vincolante per i soggetti coinvolti l’azienda B potrebbe essere designata quale responsabile direttamente dall’azienda X, assumendo in questo caso, tutte le responsabilità che il ruolo comporta.
Quindi in luogo di una designazione della capo gruppo quale responsabile da parte dell’azienda X e di sub responsabile dell’azienda B da parte della capo gruppo, è possibile che l’azienda X proceda alla designazione sia della capo gruppo, sia dell’azienda B quali responsabili.
Sono evidenti i limiti ed i vincoli di tale soluzione, che poneva tanti problemi nella sua gestione con la precedente normativa, tuttavia se i rischi sono elevati costituisce sicuramente la soluzione ideale per la capo gruppo che dovrebbe proporla come soluzione all’azienda X piuttosto che procedere ad una autonoma designazione.
Ruoli privacy: le designazioni incrociate
Un altro concetto troppo spesso dimenticato è quello che una designazione a responsabile, sub responsabile o un accordo fra titolari riguarda uno o più specifici trattamenti (o per meglio dire finalità di trattamento).
Un soggetto esterno (azienda B) quindi può assumere ruoli diversi per conto del soggetto (azienda A) in funzione dei trattamenti che sta svolgendo o in funzione di chi è il soggetto titolare dei dati nel caso in cui il trattamento sia il medesimo (come nell’esempio prima citato dei trattamenti dei dati del personale).
Ecco, quindi, la possibilità di designazioni incrociate (ad esempio l’azienda ALFA può effettuare la gestione delle paghe dell’azienda BETA, ed a sua volta l’azienda BETA può gestire il sistema informativo dell’azienda ALFA).
L’azienda ALFA e BETA si designano quindi reciprocamente quali Responsabili di trattamento per le specifiche finalità indicate.
Tale accezione non riguarda però solo il ruolo di responsabile.
Si consideri ad esempio un consulente paghe.
Tale soggetto può gestire le paghe di un’azienda, ricevendo da queste indicazioni specifiche sui trattamenti da effettuare, ma contestualmente può effettuare per la medesima azienda una specifica attività di consulenza.
Per la prima attività quindi opererà come Responsabile, mentre l’attività di consulenza sarà svolta in qualità di Titolare.
Conclusioni
In merito all’attribuzione dei ruoli privacy, si possono trarre diverse conclusioni e indicazioni dagli esempi riportati, fra le quali:
- l’attribuzione di un corretto ruolo privacy non è una attività svolta una tantum, ma necessità di una continua gestione nel tempo;
- il ruolo privacy di un soggetto è legato alla singola finalità di trattamento;
- la relazione fra due soggetti che trattano dati personali può comportare che i medesimi rivestano fra loro ruoli diversi per finalità di trattamento diverse;
- le relazioni devono sempre essere formalizzate;
- può esistere più di una soluzione per l’individuazione dei ruoli, con diversi gradi di responsabilità;
- la variazione del ruolo di un soggetto che tratta i dati può avere impatti sui ruoli attribuiti agli altri soggetti che partecipano ai trattamenti e questo aspetto deve essere attentamente valutato anche in prospettiva (si pensi ad esempio al vincolo che un Titolare può imporre ad un Responsabile circa la designazione dei sub responsabili).
Ancora una volta la normativa privacy dimostra la propria complessità e pervasività e quanto le soluzioni fotocopia messe in atto con troppa leggerezza siano piene di insidie[1].
NOTE
- Il tema dei ruoli privacy è ricco di altri spunti e pertanto per maggiori dettagli rinvio alla mia recente pubblicazione: GDPR La privacy nella pratica quotidiana – Tutte le domande a cui un DPO deve sapere rispondere. ↑