L'art. 28 del Gdpr e la disciplina del ricorso ai sub-responsabili: la Circolare 3-2021 di Federprivacy
Nel linguaggio degli addetti ai lavori sono denominati correntemente 'sub-responsabili', mentre l'art. 28 del Regolamento UE 2016/679 li chiama “altri responsabili”, la sostanza è comunque la stessa: si intendono per costoro quei soggetti cui si rivolge il responsabile quando intenda sub-affidare in tutto o in parte il servizio (con il connesso trattamento dei dati) del cui svolgimento ha ricevuto incarico dal titolare. Si tratta di una opportunità denegata, in Italia, dal pre-vigente art. 29 del Codice privacy, che contemplava unicamente nomine dirette da parte del titolare, nella formale indifferenza rispetto ad un fenomeno che nella realtà del mercato era ed è, invece, assai diffuso ed importante.
La disciplina delineata dall'art. 28 (segnatamente, con i paragrafi 2 e 4) viene esplorata da Federprivacy con la Circolare n. 3-2021, nell'ottica di contribuire a gettare luce su un angolo del Regolamento UE 2016/679 che al momento sembra rimasto in penombra.
Lo scopo fondamentale che il legislatore europeo si è prefissato con tale disciplina è quello di scongiurare il rischio che dal ricorso del responsabile ad un sub-responsabile possa derivare, in capo al titolare, una perdita di controllo dei dati.
Prescrivendo l'obbligo della preventiva autorizzazione, il legislatore ha affermato la priorità di questa esigenza: nell'ottica della conservazione del potere di controllo, è altresì evidente che il responsabile debba dimostrare a sua volta di (voler) ricorrere “a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato” (art. 28.1). E' quindi riprodotto, in capo al responsabile, lo stesso obbligo che dovrebbe avere osservato il titolare nei suoi confronti.
Il paragrafo 2, primo periodo, dell'art. 28 impone che il ricorso ad uno o più (sub)responsabili da parte del responsabile sia preventivamente autorizzato in forma scritta, mediante autorizzazione specifica o generale. Nel caso di autorizzazione generale, il responsabile è obbligato ad informare (sempre preventivamente) il titolare di ogni modifica nella catena di fornitura che comporti l'aggiunta e/o la sostituzione di/degli “altri responsabili”. Il titolare ha il diritto di opporsi a tali modifiche, in forza della facoltà concessa dall'ultima parte del secondo periodo del detto paragrafo 2.
La Circolare analizza dunque il paragrafo 4 dell'art. 28, laddove si vanno a definire i requisiti di contenuto del sub-contratto e si profila (secondo periodo) il regime di responsabilità, di fronte al titolare, che chiama in causa pur sempre il (primo) responsabile. Ciò valendo ad escludere che, mediante il ricorso al sub-responsabile, il responsabile possa presumere di delegare, con il servizio o con una parte di esso, anche le responsabilità connesse al trattamento dei dati.
Non poche e forse innumerevoli sono le clausole che potrebbero doversi aggiungere nel contratto tra titolare e responsabile (rispetto a quelle già previste per legge), onde disciplinare il ricorso ai sub-responsabili e le vicende che possono caratterizzare i rapporti contrattuali derivati. Se ne ricava l'idea che il contratto tra titolare e responsabile costituisca la sede in cui essi possono negoziare e progettare concordemente un 'sistema' di fornitura idoneo a soddisfare, ad un tempo, l'esigenza fondamentale del titolare, contemperata con quelle eventuali del fornitore e dei sub-contraenti, e la necessità che i trattamenti siano comunque eseguiti in sicurezza e con le dovute garanzie per i diritti e le libertà degli interessati.