Gestione del responsabile esterno, le garanzie richieste dal Gdpr
Senza una nomina, non c’è responsabile esterno? L’articolo 20 del Gdpr ci dice: “Guarda, carissimo titolare del trattamento, che tra te e il responsabile esterno è obbligatorio che ci sia o un contratto con delle clausole o una nomina. Se manca una di queste due cose, non puoi avvalerti di quel responsabile esterno.” Il responsabile esterno quindi deve essere nominato con un atto di nomina o deve essere indicato all’interno del contratto di fornitura, attraverso un atto che vincola il responsabile del trattamento al titolare. Cosa vuol dire che vincola?
Vuol dire che è un accordo che lega le parti e che disciplina quali dati vengono trattati, per quali finalità, eventualmente per quali categorie di interessati e quali sono gli obblighi e i diritti del titolare del trattamento e del responsabile.
Quindi, se tu titolare scegli di usare un responsabile esterno che non si fa nominare per iscritto o nella nomina non elenchi tutti i punti necessari e obbligatori - previsti dall’articolo 28, punto 3 del Gdpr, che vedremo fra pochissimo - sei sanzionabile e non lo puoi usare.
Il responsabile esterno deve dare delle garanzie, altrimenti non puoi avvalertene - L’articolo 28, punto 3, del Gdpr ci dice: “Titolare del trattamento, quando qualcuno fa dei trattamenti di dati personali per conto tuo – e quindi è un responsabile esterno – puoi usarlo solo se presenta garanzie sufficienti. Se non ha queste garanzie, non puoi usarlo.”
Ma quali sono queste garanzie?
Sono 8 punti, dalla A alla H, elencati nel testo del Regolamento e che devono essere presenti nel contratto o nell’atto di nomina. In sintesi, ci dicono questo:
A – Il responsabile esterno deve trattare i dati personali solo su istruzione documentata dal titolare, anche se vengono trasferiti all’estero o verso organizzazioni internazionali, a meno che non lo richieda il diritto dell'Unione o il diritto nazionale cui è soggetto il responsabile del trattamento.
B – Il responsabile esterno deve garantire che le persone autorizzate al trattamento – gli addetti - si sono impegnate alla riservatezza anche come obbligo legale.C – Il responsabile esterno dichiara di aver adottato le misure tecniche e organizzative per garantire un livello di sicurezza adeguato rispetto ai rischi che corrono i dati e che derivano da distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o trattati.
D – Il responsabile esterno dichiara di rispettare le condizioni della responsibility chain, cioè della catena dei responsabili, che deve essere chiara. Vuol dire che se il responsabile ingaggia altri sub-responsabili, nell’atto di nomina o nel contratto deve esserci scritto: “Io, responsabile esterno, posso aggiungere ulteriori responsabili e ti dico anche come li aggiungo e come ti comunico”
E – Nel documento deve essere chiaro cosa succede se un interessato esercita i suoi diritti e chiede come vengono trattati i suoi dati. Quindi, per esempio, se Peppino chiede di accedere ai suoi dati personali, nel contratto o nella nomina a responsabile esterno deve esserci scritto: chi risponde, come risponde, in che tempi risponde e in che modo.
F - Il responsabile esterno ha l’obbligo di assistere il titolare in caso di violazioni sul trattamento e quindi di mettersi a disposizione per fornire informazioni che permettano al titolare di verificare l’adeguatezza dei suoi trattamenti. Inoltre, il responsabile deve avere delle regole scritte che gli spiegano come si deve comportare nel caso in cui ci sia una violazione.
G – È fondamentale e obbligatorio che nel contratto o nella nomina ci siano indicate le modalità di cancellazione e le modalità di restituzione delle informazioni date al responsabile esterno.
H - Il responsabile mette a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi.
(Nella foto: Andrea Chiozzi, Ceo di PrivacyLab)
Verifica periodica del responsabile esterno - Poniamo che individui un responsabile esterno, fai tutte le verifiche obbligatore e poi lo nomini. È finita qui? No. Il controllo del responsabile esterno non si limita all’ingaggio. Il responsabile esterno va verificato periodicamente nel tempo, per vedere se è ancora adeguato oppure no.
Quindi, ogni quanto va controllato?
Dipende. Potrebbero essere cadenze annuali, semestrali, bimestrali, mensili, giornaliere, poco importa, non c’è una prescrizione di legge che indica ogni quanto dobbiamo verificare un responsabile esterno ma dobbiamo farlo.
Ricapitoliamo quali sono le cose importanti da sapere e da fare nella gestione dei responsabili esterni:
1. Un responsabile esterno va identificato attraverso un contratto o attraverso una nomina, qualsiasi formula contrattuale va bene, qualsiasi nomina va bene. L’importante è che riporti gli otto punti che abbiamo visto prima, indicati al punto 3 dell’articolo 28 del Gdpr, dalla A alla H. Quindi la nomina è valida solo se gli otto punti sono stati esplicitati tutti.
Non possono esserci aziende esterne, che trattano per te dei dati personali ma che non hanno né una nomina, né un contratto. Non ci possono essere.
2. È fondamentale e obbligatorio che nel contratto o nella nomina ci sia il dettaglio su quali informazioni tu titolare passi al responsabile, perché gliele passi, quali sono le finalità.
E le finalità le dà sempre il titolare. Inoltre, nel contratto o nella nomina ci devono essere le clausole di riservatezza, sempre.
3. Nel contratto o nella nomina ci deve essere scritto che il responsabile adotta le misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio sui dati.
4. Nel contratto o nella nomina ci devono essere le istruzioni su come si deve comportare il responsabile esterno al trattamento a fronte di una richiesta dell’interessato sui suoi diritti. Devono essere presenti le regole per la gestione del Data Breach e le regole per eventuali assistenze che il responsabile ti deve dare in caso di violazione dei dati.