NEWS

L'art. 28 del Gdpr e la disciplina del ricorso ai sub-responsabili: la Circolare 3-2021 di Federprivacy

Nel linguaggio degli addetti ai lavori sono denominati correntemente 'sub-responsabili', mentre l'art. 28 del Regolamento UE 2016/679 li chiama “altri responsabili”, la sostanza è comunque la stessa: si intendono per costoro quei soggetti cui si rivolge il responsabile quando intenda sub-affidare in tutto o in parte il servizio (con il connesso trattamento dei dati) del cui svolgimento ha ricevuto incarico dal titolare. Si tratta di una opportunità denegata, in Italia, dal pre-vigente art. 29 del Codice privacy, che contemplava unicamente nomine dirette da parte del titolare, nella formale indifferenza rispetto ad un fenomeno che nella realtà del mercato era ed è, invece, assai diffuso ed importante.

Chi tratta dati per conto di un titolare del trattamento deve essere nominato responsabile ai sensi del Gdpr

La disciplina delineata dall'art. 28 (segnatamente, con i paragrafi 2 e 4) viene esplorata da Federprivacy con la Circolare n. 3-2021, nell'ottica di contribuire a gettare luce su un angolo del Regolamento UE 2016/679 che al momento sembra rimasto in penombra.

Lo scopo fondamentale che il legislatore europeo si è prefissato con tale disciplina è quello di scongiurare il rischio che dal ricorso del responsabile ad un sub-responsabile possa derivare, in capo al titolare, una perdita di controllo dei dati.

Prescrivendo l'obbligo della preventiva autorizzazione, il legislatore ha affermato la priorità di questa esigenza: nell'ottica della conservazione del potere di controllo, è altresì evidente che il responsabile debba dimostrare a sua volta di (voler) ricorrere “a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato” (art. 28.1). E' quindi riprodotto, in capo al responsabile, lo stesso obbligo che dovrebbe avere osservato il titolare nei suoi confronti.

Il paragrafo 2, primo periodo, dell'art. 28 impone che il ricorso ad uno o più (sub)responsabili da parte del responsabile sia preventivamente autorizzato in forma scritta, mediante autorizzazione specifica o generale. Nel caso di autorizzazione generale, il responsabile è obbligato ad informare (sempre preventivamente) il titolare di ogni modifica nella catena di fornitura che comporti l'aggiunta e/o la sostituzione di/degli “altri responsabili”. Il titolare ha il diritto di opporsi a tali modifiche, in forza della facoltà concessa dall'ultima parte del secondo periodo del detto paragrafo 2.

Chi tratta dati per conto di un responsabile del trattamento è a sua volta un sub-responsabile

La Circolare analizza dunque il paragrafo 4 dell'art. 28, laddove si vanno a definire i requisiti di contenuto del sub-contratto e si profila (secondo periodo) il regime di responsabilità, di fronte al titolare, che chiama in causa pur sempre il (primo) responsabile. Ciò valendo ad escludere che, mediante il ricorso al sub-responsabile, il responsabile possa presumere di delegare, con il servizio o con una parte di esso, anche le responsabilità connesse al trattamento dei dati.

Non poche e forse innumerevoli sono le clausole che potrebbero doversi aggiungere nel contratto tra titolare e responsabile (rispetto a quelle già previste per legge), onde disciplinare il ricorso ai sub-responsabili e le vicende che possono caratterizzare i rapporti contrattuali derivati. Se ne ricava l'idea che il contratto tra titolare e responsabile costituisca la sede in cui essi possono negoziare e progettare concordemente un 'sistema' di fornitura idoneo a soddisfare, ad un tempo, l'esigenza fondamentale del titolare, contemperata con quelle eventuali del fornitore e dei sub-contraenti, e la necessità che i trattamenti siano comunque eseguiti in sicurezza e con le dovute garanzie per i diritti e le libertà degli interessati.

Note sull'Autore

Paolo Marini Paolo Marini

Avvocato in Firenze, consulente di imprese e autore di libri, commenti, note a sentenze e altri contributi, impegnato nei settori del diritto e della procedura civile, della normativa in materia di protezione dei dati personali e sulla responsabilità amministrativa degli enti e delle persone giuridiche.

Prev La Circolare 4-2021 su privacy e sicurezza informatica in ambito di smart working
Next Corso su Big Data e intelligenza artificiale dell'Università di Milano, patrocinio di Federprivacy e crediti per i Privacy Officer certificati TÜV

Camera dei Deputati: Artificial intelligence e sostenibilità

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy