NEWS

Outsourcing, ecco l'identikit di titolare e responsabile del trattamento

Outsourcing in linea con la privacy. Quando un'azienda esternalizza i propri servizi deve preoccuparsi di stendere un contratto con il fornitore esterno, che diventa un responsabile del trattamento. Attenzione, stendere il contratto è obbligatorio, altrimenti si rischia fino a 10 milioni di euro di sanzione pecuniaria amministrativa (articolo 83 regolamento Ue sulla privacy n. 2016/679 o Gdpr). Insomma quando i dati personali passano da un'impresa a un'altra o a un ente pubblico occorre capire se si può fare e a che condizione si può fare.

Nella foto: L'Avv. Antonio Ciccia Messina

(Nella foto: L'Avv. Antonio Ciccia Messina)

Può essere che ci sia un titolare del trattamento (decide finalità e mezzi del trattamento) e il soggetto esterno (outsourcee) che tratta i dati per conto del primo. Detto così pare facile, Ma non lo è sempre. Anzi, molto spesso nella pratica i passaggi di dati sono un crocevia intricato di flussi e anche i ruoli decisionali non sono così ben definiti.

Insomma è un problemone. Tanto che i Garanti europei della privacy, riuniti nel comitato europeo per la protezione dei dati (Edpb) hanno stilato una prima versione delle «Linee-guida sui concetti di titolare del trattamento e responsabile del trattamento nel Gdpr». Il taglio delle linee guida è pratico e sono decisamente apprezzabili gli esempi. La materia rimane però con molti margini di incertezza applicativi, visto che molto spesso si rinvia alla soluzione «caso per caso», che è un altro modo per dire che non c'è una regola fissa.

Un contributo alla soluzione dei nodi arriva dalle esemplificazioni dell'Edpb, riportate in queste pagine.

European Data Protection Board

Responsabili. Come riconoscere un titolare e un responsabile? Vediamo passo passo come procedere seguendo le indicazioni dei Garanti europei:

1. Se il trattamento non coinvolge altri se non un solo soggetto, quest'ultimo è il solo titolare ed è responsabile dei mezzi del trattamento.

2. Se ci sono più soggetti coinvolti nel trattamento, bisogna chiedersi se una norma dell'ordinamento indichi esplicitamente un determinato soggetto come titolare del trattamento. In caso affermativo il soggetto individuato dalla norma agisce come titolare del trattamento.

3. Se la norma non indica espressamente la titolarità, ma il trattamento è necessario per realizzare un compito assegnato dalla norma (attribuzione della competenza senza indicazione del ruolo), il soggetto assegnatario della funzione è un titolare del trattamento.

4. Se non c'è un'individuazione esplicita o implicita, bisogna passare al vaglio di alcuni elementi sintomatici. Il soggetto deve chiedersi se sia lui a decidere una serie di circostanze, ovvero: lo scopo o gli scopi per cui i dati saranno trattati; quali dati personali devono essere raccolti e trattati; quali categorie di individui a cui si riferiranno i dati trattati; se i dati trattati saranno comunicati e a chi; per quanto tempo i dati personali saranno conservati.

Se la risposta alla domanda è negativa, in quanto il soggetto effettua il trattamento per conto di un'altra parte, conformemente alle sue istruzioni, allora il soggetto in questione è un responsabile. Si rimane responsabili anche se si prendono decisioni su determinati mezzi non essenziali da utilizzare (per esempio, quali sistemi informatici o altri mezzi tecnici utilizzare per il trattamento o i dettagli delle misure di sicurezza in base agli obiettivi generali di sicurezza fissati dall'altra parte).

A maggior ragione il soggetto in questione è un responsabile se effettua il trattamento per conto di un'altra parte e esclusivamente in conformità con le sue istruzioni e non prende alcuna decisione in materia di scopi e mezzi di trattamento.

5. Se non si sa rispondere alla domanda su chi assume le decisioni, ci sono alcuni fattori che fanno propendere per la figura di titolare e altri per la figura di responsabile esterno.

6. I fattori sintomatici della titolarità sono:

si ottiene un beneficio o si ha un interesse per il trattamento (diverso dal semplice pagamento per i servizi ricevuti da un altro titolare); si prendono decisioni sulle persone interessate come parte o come risultato del trattamento (per esempio, i soggetti di dati sono i dipendenti); le attività di trattamento possono essere considerate come naturalmente collegate al ruolo o alle attività del soggetto (per esempio a causa di ruoli tradizionali o competenze professionali) che comporta responsabilità da un punto di vista della protezione dati; Il trattamento si riferisce alla relazione con i soggetti di dati come dipendenti, clienti, utenti, ecc.; il soggetto ha piena autonomia nel decidere come vengono trattati i dati personali; il soggetto ha affidato il trattamento dei dati personali a un'organizzazione esterna per elaborare i dati personali per tuo conto.

7. I fattori sintomatici della responsabilità sono:

si trattano i dati personali per finalità di un altro soggetto e in conformità con le sue istruzioni; non si dispone di uno scopo proprio del trattamento; un'altra parte monitora le attività di trattamento per garantire il rispetto delle istruzioni e termini contrattuali; non si persegue altra finalità se non quello di adempiere le prestazioni contrattuali; il soggetto è stato incaricato di svolgere attività di trattamento da parte di qualcuno che a sua volta è stato individuato per trattare dati per conto di un'altra parte e sulle istruzioni documentate di questa parte (il soggetto è un sub responsabile).

Fonte: Italia Oggi Sette del 14 settembre 2020

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Pubblica amministrazione, l'ente si può rivalere sul singolo dirigente, ma prima deve comunque pagare la sanzione privacy
Next Anonimizzazione delle sentenze solo per motivi legittimi, anzi 'opportuni'

Privacy Day Forum: il servizio di Ansa

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy