Con questo contributo si entra pur schematicamente nella vicenda del Responsabile del Responsabile (d'ora in poi anche 'Subresponsabile') nel momento in cui debba affrontare tre importanti adempimenti in base al Regolamento 2016/679, nell'ordine: la redazione e la tenuta del registro, la valutazione di impatto, la gestione delle violazioni di dati, tutti ovviamente nella misura in cui concernenti i dati o i trattamenti di dati nello svolgimento dell'attività e/o servizio affidatigli, con l'autorizzazione del Titolare, dal Responsabile.
Nel Parere 22/2024 emesso lo scorso 7 ottobre in risposta all’Autorità Danese, l’European Data Protection Board (EPDB) affronta alcune questioni relative a adempimenti del titolare del trattamento (“Titolare”) derivanti dal ricorso di responsabili del trattamento e sub-responsabili del trattamento dando specifico rilievo alle clausole contrattuali che disciplinano tale rapporto.
Quando si parla di hosting provider si fa riferimento ad un professionista della rete che potremmo definire come un prestatore di servizi di memorizzazione di informazioni o, in altri termini, un soggetto che fornisce ospitalità a siti internet. Col tempo, però, tali figure hanno assunto una certa rilevanza non solo sul piano tecnico, ma anche in ambito giuridico, e questo in virtù dello sviluppo delle nuove tecnologie e della loro diffusione. Di conseguenza, tanto il legislatore quanto la giurisprudenza hanno dovuto bilanciare una pluralità di interessi coinvolti - come la riservatezza di chi immette contenuti in rete, l'indipendenza degli intermediari e i diritti degli altri soggetti coinvolti - al fine di determinare i profili di responsabilità dell'hosting provider di fronte alla immissione di contenuti illeciti sul web.
Rischio privacy per i fornitori di servizi informatici e non solo. Se trattano dati per conto di un committente, pagano di tasca loro per le violazioni del Gdpr. E la responsabilità autonoma per i fornitori ha effetti a cascata sui compensi e sui rapporti contrattuali.
Con l’entrata in vigore del Regolamento UE 2016/679, comunemente noto con l’acronimo inglese GDPR (General Data Protection Regulation), gli enti pubblici hanno iniziato a porre maggiore attenzione alla materia della privacy nell’indizione delle gare di appalto pubblico e nella redazione dei contratti pubblici, imponendo gli obblighi relativi al trattamento dei dati personali in capo alle imprese appaltatrici.
Contratto privacy coatto. Quando si esternalizzano servizi, se il committente, fornitore e subfornitore non firmano contratti che fissino le clausole privacy, tutta la filiera paga le sanzioni amministrative, previste dal regolamento Ue n. 2016/679 (Gdpr). Come è capitato a un importante comune, alla società di gestione dei parcheggi e alla società che ha fornito parcometri di ultima generazione. Tutti e tre sono stati sanzionati dal Garante della privacy, in relazione a una vicenda che aveva al centro la memorizzazione di milioni di dati, in parte trasmessi su canali digitali non sicuri.
Se il sistema informativo della polizia locale viene violato il primo responsabile va ricercato nel fornitore esterno del servizio. In particolare se il comune si è avvalso di professionisti qualificati che sono stati adeguatamente inquadrati lato privacy e l'organizzazione municipale si è data regole precise in materia di protezione dei dati. Lo ha evidenziato il garante per la protezione dei dati personali con l'ordinanza n. 9767635 del 24 marzo 2022.
Dopo che i posti disponibili sono andati rapidamente esauriti per l'incontro organizzato ad aprile, è stato programmata un'ulteriore edizione del seminario "Responsabili e sub-responsabili con il Gdpr" con gli obiettivi di approfondire non solo l'inquadramento di queste particolari figure di fornitori previste dal Gdpr, ma anche l'individuazione dei punti nodali del rapporto sin dalla fase pre-contrattuale, per poi passare alle clausole contrattuali standard e individuali, ai processi di monitoraggio, alla gestione delle patologie del rapporto.
Rispondendo a 16 quesiti è possibile individuare chi è titolare e chi è responsabile del trattamento. È un dubbio che crea incertezze e contenzioso, anche a fronte della vaghezza dei parametri giuridico e della non esaustività delle indicazioni interpretative. Così se non c’è nessun problema nel caso in cui il soggetto è identificato titolare/responsabile da una norma o dall’Autorità di controllo, una relativa certezza (nel senso della titolarità del trattamento) c’è quando la legge affida a un determinato soggetto il compito, o imponga l'obbligo, a qualcuno, di raccogliere e trattare certi dati. La check-list nella Circolare 3/2019 di Federprivacy.
Un contratto tipo per l'outsourcing: lo ha confezionato la Commissione europea in applicazione del regolamento Ue sulla privacy o Gdpr (n. 2016/679). Lo schema di atto interessa tutti i casi in cui un'impresa o una pubblica amministrazione si serve di un fornitore esterno per servizi che comportano un trattamento di dati per conto del committente.
