Registro dei trattamenti, valutazione d’impatto e violazioni dei dati: gli adempimenti del sub-responsabile
Con questo contributo si entra pur schematicamente nella vicenda del Responsabile del Responsabile (d'ora in poi anche 'Subresponsabile') nel momento in cui debba affrontare tre importanti adempimenti in base al Regolamento 2016/679, nell'ordine: la redazione e la tenuta del registro, la valutazione di impatto, la gestione delle violazioni di dati, tutti ovviamente nella misura in cui concernenti i dati o i trattamenti di dati nello svolgimento dell'attività e/o servizio affidatigli, con l'autorizzazione del Titolare, dal Responsabile.
Registro dei trattamenti - In tutto e per tutto si tratterà di un documento analogo, sul piano contenutistico, a quello che deve redigere il Responsabile. Conferma la circostanza quanto scrive il Garante nel documento sulle Faq relative ai registri del trattamento (al punto 6, lettera c: “in caso di sub-responsabile, parimenti, il registro delle attività di trattamento svolte da quest’ultimo potrà specificatamente far riferimento ai contenuti del contratto stipulato tra lo stesso e il responsabile ai sensi dell’art. 28, paragrafi 2 e 4 del RGPD”).
Nondimeno, essendo trattamenti sub-affidati, sarà utile precisare l'indicazione sia del nome/denominazione/ragione sociale del Titolare che quello/a del Responsabile. Anche qui, se il numero dei Responsabili fosse ingente, potrebbe essere più semplice che il registro del Subresponsabile riportasse “il rinvio, ad es., a schede o banche dati anagrafiche dei clienti (o committenti, nel caso i Responsabili, ndr), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2 del RGPD”.
Si può anche dare l'ipotesi in cui lo stesso soggetto, a seconda dei trattamenti, intervenga quale Responsabile e/o come Subresponsabile: allora saranno da redigere due distinti registri, nel primo essendo da indicare i trattamenti gestiti per conto dei Titolari, nel secondo quelli per conto dei Responsabili. Se a ciò si aggiunge che praticamente non è mai possibile che un qualunque soggetto che tratta i dati non sia anche un Titolare, allora i registri arriveranno ad essere tre.
La gestione quotidiana dovrà tenere conto dell'articolazione/complessità relativamente più alta e del fatto che potranno rendersi necessari continui aggiornamenti/modifiche, in particolare, dei registri del Responsabile/Subresponsabile, in ragione della variabilità fisiologica dei rapporti contrattuali gestiti dal soggetto come fornitore di servizi. Occorre disciplinare, organizzare bene le relative procedure.
Valutazione di impatto - Come è noto la valutazione di impatto (art. 35) è obbligo gravante sul Titolare, mentre il Responsabile entra in gioco quando e nella misura in cui deve/debba assistere “il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento”. Quindi la domanda che potrebbe sopraggiungere è: che c'entra il Subresponsabile in tutto questo?
La risposta sarebbe immediata: il fatto che il Subresponsabile o il Responsabile del Responsabile non sia citato non ha alcun significato, in quanto l'art. 28.4 è chiarissimo nell'esigere che sul Responsabile del Responsabile gravino, “mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, (...)”. Esimendoci qui dal trattare senso e limiti della formulazione (per cui leggasi la Circolare Federprivacy n. 03-2021, par. 3), consegue dalla norma che, nella misura in cui il trattamento sia sub-affidato dal Responsabile ad un proprio Responsabile, anche quest'ultimo non potrà non restare coinvolto nella procedura di valutazione di impatto. Il problema è stabilire come possa/debba dispiegarsi il suo contributo a tale adempimento.
Non essendovi un rapporto formale diretto tra Subresponsabile e Titolare, tutte le informazioni necessarie e utili alla DPIA dovrebbero transitare ed essere elaborate dal Responsabile e così pervenire al Titolare. Comunque è straordinariamente opportuno che il modus procedendi sia immaginato, descritto e disciplinato ex ante, così da trovare idonea traduzione nei contratti, fermo restando che dinanzi al Titolare il Responsabile risponde dell'intero trattamento affidatogli.
La formale articolazione dei rapporti non esclude, tuttavia, che ad uno stesso tavolo siedano tutti e tre, contemporaneamente, i soggetti coinvolti (Titolare, Responsabile e Subresponsabile) ed anzi ciò può diventare necessario. Il Responsabile del Responsabile vi interverrà in ogni caso in forza delle obbligazioni contratte formalmente con il Responsabile (non con il Titolare) la cui sussistenza avrà influito nella decisione del Titolare di concedere l'autorizzazione al sub-affidamento.
Violazione dei dati - Lo schema valido per la valutazione di impatto non ha ragione di non essere replicato per la violazione dei dati. Il rapporto tra Subresponsabile e Responsabile è infatti derivato da quello principale e, se per l'art. 33.2 “il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione”, questa tempestiva informazione da parte del Responsabile non potrà che riguardare anche la violazione verificatasi in tutto o in parte nella sfera organizzativa del rispettivo Responsabile.
Ci si rende conto che la pluralità di passaggi potrebbe risultare controproducente, non solo per quanto concerne una gestione efficiente da parte del Titolare degli adempimenti verso l'esterno (notificazioni ed eventuali comunicazioni) ma anche sotto il profilo della tempistica degli interventi necessari ad attenuare il danno e/o a rimediarvi, che non possono non chiamare in causa tutti i soggetti a vario titolo coinvolti, incluse ovviamente le organizzazioni presso cui gli incidenti si siano verificati.
Questa circostanza rafforza l'esigenza di concordare e formalizzare, sia nel contratto principale (Titolare-Responsabile) che in quello derivato (Responsabile-Subresponsabile), clausole chiare e stringenti che individuino e definiscano le modalità concrete di interazione reciproca e di gestione di simili evenienze.