Il Comitato europeo per la protezione dei dati (“EDPB”) ha pubblicato un parere sugli obblighi dei titolari del trattamento in relazione all’attività di trattamento svolta dai propri responsabili e sub-responsabili.
In particolare, il parere dell’EDPB ha chiarito alcuni aspetti dell’articolo 28 del Regolamento sulla protezione dei dati (“GDPR”), che riguarda il rapporto tra responsabili del trattamento, responsabili del trattamento e sub-responsabili del trattamento e prevede l’obbligo in capo al titolare di individuare e selezionare solo responsabili del trattamento che offrano “garanzie sufficienti”.
Il parere avrà un forte impatto per le aziende che agiscono come titolari del trattamento, poiché l’approccio rigoroso adottato dall’EDPB impone diversi obblighi a questi ultimi, nonché la responsabilità per l’attività dei loro responsabili e sub-responsabili.
Due diligence:
- Il titolare del trattamento deve far in modo di ottenere informazioni esaustive circa l’identità di tutti i responsabili del trattamento, i sub-responsabili del trattamento, ecc.
- L’obbligo di verifica trova applicazione indipendentemente dal grado di rischio per i diritti e le libertà degli interessati. Tuttavia, va tenuto in considerazione l’approccio basato, con la conseguenza che la profondità della verifica varierà al variare del livello di rischio posto dal responsabile, ad esempio considerato il paese in cui è stabilito.
- La verifica si estende anche ai sub-responsabili del trattamento selezionati dal responsabile del trattamento. A questo proposito, l’EDPB ha chiarito che, nonostante la responsabilità di verificare le loro attività, l’obbligo non si estende al dovere di richiedere sistematicamente i contratti in vigore tra il responsabile e i sub responsabili. Tuttavia, è richiesta al titolare una attenta valutazione caso per caso, al fine di individuare potenziali situazioni sospette in cui sia necessario richiedere una copia di tali contratti.
- Il responsabile del trattamento rimane soggetto all’obbligo di verifica anche quando i trasferimenti di dati personali al di fuori del SEE avvengono tra due sub-responsabili del trattamento.
Contratti tra responsabile del trattamento e incaricato del trattamento
L’EDPB si è pronunciato anche sulla validità della clausola in base alla quale, nel caso di trasferimenti internazionali, il responsabile del trattamento è autorizzato a trattare i dati personali al di fuori delle istruzioni del responsabile del trattamento a causa di leggi vincolanti vigenti nel paese di destinazione.
L’EDPB chiarisce che la formulazione “a meno che non sia richiesto dalla legge o da un ordine vincolante di una pubblica autorità” è in linea di principio valida. Tuttavia, occorre distinguere in base al livello di protezione garantito nel paese di destinazione. Se il Paese terzo non fornisce misure sufficienti e potrebbe esserci un accesso abusivo da parte delle autorità, tale clausola potrebbe non essere valida e il titolare del trattamento verrebbe considerato responsabile per il trattamento posto in essere. In questi casi, si raccomanda la formulazione “a meno che non sia richiesto dal diritto dell’Unione o degli Stati membri a cui è soggetto l’incaricato del trattamento”, al fine di circoscrivere l’esenzione alle sole ipotesi in cui la legge del paese di destinazione fornisca garanzie adeguate.
Conclusioni
Nel complesso, l’approccio adottato dall’EDPB è estremamente rigoroso e chiarisce chiaramente che il responsabile del trattamento ha il controllo completo ed è responsabile in ultima istanza di garantire che i dati personali siano trattati in conformità al GDPR lungo l’intera catena di trattamento.
Ciò avrà un impatto significativo sulle aziende che agiscono in qualità di titolari del trattamento, che saranno tenute a mettere in atto una forte due diligence per evitare trattamenti illegittimi potenzialmente in grado di determinare una loro responsabilità.
Il parere è in contrasto con la prassi generale delle grandi aziende tecnologiche che si limitano a fornire un elenco di sub-responsabili che potrebbero essere situati in qualsiasi parte del mondo e sui quali l’azienda che riceve il servizio non ha alcun controllo. Abbiamo implementato soluzioni per i nostri clienti per ridurre il rischio di contestazioni in questi casi, ma devono essere negoziate con la controparte.
Su un argomento simile può essere di interesse l’articolo “L’EDPB pubblica le linee guida sui concetti di titolare e responsabile del trattamento nel GDPR“.
