ARGOMENTO:

Mi permetto di inserirmi nel topic per provare a dare un contributo con una visione leggermente diversa rispetto a quanto esposto dall'Avv. Marini (che sicuramente ha un'esperienza ed una conoscenza della materia molto più ampie della mia).

Personalmente ho sempre valutato ogni singolo passaggio come a sé stante: Vendor 3 è responsabile di Vendor 2 ed è necessario un contratto o altro atto giuridico che regoli il trattamento dei dati da parte del primo; se Vendor 2 a sua volta fornisce un servizio a Vendor 1, tale trattamento andrà regolato tra di loro e non dovrebbe andare ad influire sull'accordo tra Vendor 3 e Vendor 2.
Vendor 3, a mio avviso, non è tenuto a verificare tutta la catena, anche perché può ben capitare che tale catena non sia verificabile in modo ragionevolmente semplice.
Faccio l'esempio di un provider di spazi web: trovo irragionevole pretendere che il provider in questione debba risalire indietro la catena per capire se chi ha acquisito lo spazio non l'abbia fatto per conto di un cliente che a sua volta potrebbe avere altri clienti.

Per le ragioni già spiegate (insussistenza di contratti/atti di nomina ai sensi dell'art. 28 tra titolare e responsabile e responsabile e primo sub-responsabile) non è possibile immaginare che Vendor 3 possa stipulare un contratto con Vendor 2 come (secondo) sub-responsabile.
La situazione a monte della catena di fornitura e fino a Vendor 2 è chiaramente di non conformità rispetto alle disposizioni del Regolamento UE 2016/679 e comporta sanzioni in capo ai vari soggetti coinvolti (cfr. tra gli altri i provvedimenti Garante del 17.09.2020 [doc. web n. 9461321], del 17.12.2020 [doc. web n. 9525315], del 22.07.201 [doc. web n. 9698558]), là dove l'attenzione dell'autorità, peraltro, ha focalizzato l'assenza di condizione di liceità dei trattamenti e quindi la violazione dell'art. 6 (tra le altre disposizioni violate), prima e come conseguenza della violazione dell'art. 28. Una situazione di non conformità che, in quanto tale, non parrebbe - come dire - sanabile nell'ulteriore passaggio, per quanto formalizzato ai sensi dell'art. 28, verso un ulteriore sub-responsabile.
Alla luce di quanto sopra pare a chi scrive che l'unica via d'uscita percorribile (si badi, una mera ipotesi, comunque da valutare in ogni aspetto) sia quella di prendere atto della conseguenza di tale situazione e considerare Vendor 2, in realtà, come un titolare dei trattamenti (cfr. Linee Guida EDPB 07/2020, allegato I, pag. 55, sub voce “fattori che indicano che sei il titolare del trattamento”, con particolare riferimento alla evidenza/criterio della completa autonomia del soggetto indicato nel decidere come sono trattati i dati personali, con cui può spiegarsi il riferimento nella risposta precedente all'art. 28, par.10).

Innanzitutto La ringrazio.
Chiara la Sua risposta.
Approfitto della Sua disponibilità per farLe un'altra domanda:
1) nel momento in cui il Vendor3 si fa nominare sub responsabile, senza accertarsi della sussistenza degli altri atti di nomina che definiscono le finalità e i mezzi del trattamento, laddove questi manchino, il vendor3 è responsabile al pari degli altri soggetti?
2) Di fronte ad un controllo da parte del Garante che accerti la mancanza di tutti gli atti di nomina e la sussistenza della nomina come sub responsabile (nella catena così come descritta prima), come viene valutato il comportamento del vendor3?
La ringrazio infinitamente.

Un quesito bello ma drammatico: bello perché insolito (normalmente il punto di vista discusso è quello del titolare, primo 'anello della catena'), drammatico perché dinanzi ad una situazione di palese violazione dell'art. 28, questo ultimo anello (diciamo Vendor3, l'ulteriore ipotetico 'sub-responsabile') si trova a doversi porre e, se possibile, a risolvere (per quanto di spettanza) un problema che nessuno, evidentemente, si è posto avanti/prima di lui e che non è di agevole, immediata soluzione.
Tenendo presente quanto disposto dall'art. 28, il rapporto rilevante ai sensi del medesimo è regolato da un contratto; e, in ogni caso, anche quando non si dovesse trattare di un contratto, l'approccio del (sub)responsabile solo malintesamente potrebbe essere quello di accettazione supina della proposta/atto di parte committente.
In altre parole, il (sub)responsabile non può disinteressarsi di ciò che sia (o non sia) avvenuto a monte della catena di fornitura.
Qui è il carattere virtuoso ma anche, se così possiamo definirlo, 'perfido' dell'art. 28.
Si dà poi il caso che la disposizione esponga un paragrafo che consente di inquadrare giuridicamente la situazione in cui il trattamento dei dati per conto di un titolare sia stato impostato in violazione dei requisiti prescritti: il paragrafo 10 sanziona detta violazione 'trasformando' il responsabile (così come, se del caso e a sua volta, il responsabile del responsabile ovvero il cosiddetto 'sub-responsabile') che violando le disposizioni del regolamento, determini le finalità e i mezzi del trattamento, considerandolo “un titolare del trattamento in questione”.
La soluzione (almeno per il futuro) del non piccolo problema dovrebbe passare (prima della stipula del contratto tra Vendor2 e Vendor3) dalla riconduzione della intera fattispecie - dal primo committente e titolare in poi sino a Vendor2 - alla conformità ai requisiti dell'art. 28.
In difetto di ciò, l'eventuale atto di nomina dell'ultimo anello della catena (ancora per comodità "Vendor3"), non potrà prescindere dalla considerazione della situazione di fatto e del contenuto del paragrafo 10.

Scrivo per chiedevi un parere sulla struttura del SGP e obblighi del sub responsabile.
La nostra azienda lavora nel mercato B2B e, nella stragrande maggioranza dei casi, risulta essere il quarto anello della catena commerciale, in cui, a livello di privacy, si configura come sub responsabile di un ulteriore sub responsabile.
Per esemplificare: CLIENTE FINALE (titolare) - VENDOR1 (responsabile) - VENDOR2 (sub resp) - VENDOR3 (sub resp).
Siamo soliti fornire noi un atto di nomina a chi deve nominarci, al fine di facilitare le cose.
Tuttavia, se gli atri anelli della catena mancano di fare tutte le altre nomine (dal titolare al responsabile, dal responsabile al primo sub responsabile), che valenza ha l'atto di nomina nei confronti dell'ultimo anello della catena?
ai fini della validità dell'ultimo atto, è necessaria (e presupposta) l'esistenza degli altri atti?
grazie a chiunque vorrà rispondermi