Conformità al GDPR e gestione esterna dei dati: il titolare del trattamento è responsabile dei dati, anche se elaborati da terzi.

Conformità al GDPR: il titolare del trattamento è sempre responsabile dei dati

Alcune aziende si avvalgono dei servizi di terzi per trattare tutti o parte dei dati personali necessari per la propria attività lavorativa. Mi sono reso conto, trattando coi nostri clienti, che spesso non è chiaro, in casi di esternalizzazione del trattamento dati, chi sia responsabile verso questi e quale sia la "postura" corretta per trattarli in conformità al GDPR.

Penso sia utile iniziare, quindi, da un concetto tanto semplice quanto centrale per il GDPR. Il titolare del trattamento dei dati ha il dovere di avere il controllo sulle informazioni personali che tratta. Che si parli di dati personali di clienti, di fornitori, di dipendenti, di collaboratori poco conta: ha il dovere di sapere rispetto ai dati, chi li tratta, quali sono, come sono trattati, dove sono, per quanto tempo saranno conservati. Insomma, il titolare del trattamento deve sapere tutto e questo tutto comprende anche quei dati affidati agli esterni. Insomma, il fatto che i dati personali siano in gestione esterna non svincola il responsabile del trattamento da alcun obbligo.

Il GDPR e la gestione esterna dei dati

Scendiamo nel concreto: il responsabile del trattamento dati ha affidato ad un responsabile esterno parte o tutti i dati che tratta. Il titolare del trattamento deve decidere come trattare tali dati e mantenerne il controllo e questo vale sia per i dati trattati all'interno della sua organizzazione sia per quelli trattati all'esterno. Ne consegue che deve sapere come trattano i dati quei responsabili esterni ai quali ha delegato alcune attività. Ecco che il titolare del trattamento deve verificare che i responsabili esterni siano conformi al GDPR e verificare, inoltre, che la conformità sia mantenuta. Al momento di delegare le attività è fondamentale mettere nero su bianco ruoli e responsabilità.

Per approfondire > GDPR e Marketing: il committente delle campagne risponde anche per le società terze

I responsabili esterni, invece, hanno aluni diritti e alcuni doveri:

• tra i diritti c'è quello di verificare quali vincoli li legano e come tali vincoli sono applicati: ad esempio un titolare non può nominarli responsabili di un trattamento dati che non li riguarda;
• tra i doveri ci sono quelli di collaborare proattivamente e garantire la protezione dei dati personali relativamente alla parte di trattamento a loro affidata.

Il principio cardine del GDPR: l'accountability

Per quanto decisamente stringente nei suoi contenuti e nella disciplina, a cominciare dalle sanzioni, il regolamento Europeo in materia di protezione dati personali, lascia di fatto liberi i singoli operatori nella scelta sul come adeguarsi al GDPR. Salvo poi porre con vigore l´accento sulla ”responsabilizzazione" (accountability nell' accezione inglese) di titolari e responsabili. Ergo, se in teoria non vengono dettate regole rigorose cui uniformarsi, in concreto ogni Titolare del Trattamento dovrà porre in essere ogni comportamento necessario e opportuno e predisporre le dovute cautele e gli accorgimenti atti a dimostrare la concreta adozione delle misure finalizzate ad assicurare l´applicazione del regolamento. Ciò a livello tecnico e legale. Con ampio margine di autonomia i Titolari, insieme ai loro Responsabili nominati e DPO, dovranno decidere modalità, garanzie e limiti del trattamento dei dati personali alla luce di criteri specifici.

Per sapere di più > L'accountability ai sensi del GDPR

Responsabili esterni e titolare: quale collaborazione?

Dal GDPR emerge un quadro di rapporti tra titolare e responsabili esterni del trattamento che si sviluppa dall'alto al basso. L'origine sta cioè nel responsabile del trattamento, ma la conformità al GDPR viene costruita estendendo la responsabilità verso il basso, di pari passo alle attività che vengono delegate. Ecco che il GDPR norma i rapporti che devono attivari entro questa "piramide" organizzativa:

• l'art 28, ad esempio, esplicita il fatto che il responsabile del trattamento deve contribuire alla revisione dei trattamenti, ispezioni comprese. Diviene suo obbligo dimostrarsi proattivo, quindi saper provare la conformità al GDPR della parte dei trattamenti che gli competono. Insomma, deve produrre documenti e prove della conformità dei trattamenti da lui svolti;
• dalla lettura dell'art 28 deriva anche che il titolare del trattamento può prevedere esplicitamente nel contratto o nella nomina, una serie di clausole che vincolino il responsabile alla collaborazione proattiva e alla dimostrazione della propria conformità.

Sono un responsabile del trattamento: come verifico la conformità dei responsabili esterni?

Faccio una doverosa premessa: i casi di "delega" del trattamento a terzi possono essere infiniti. Ne consegue che non esiste un protocollo applicabile sempre e comunque e adatto a tutti i contesti. Ecco perchéè non propongo il solito "la conformità in dieci passi", ma mi limito a fornire alcuni spunti "necessari ma non sufficienti":

• aspetti tecnici
  Gli aspetti tecnici della gestione del trattamento dati sono fondamentali. Valutare questi aspetti è immediatamente collegato all'applicazione del GDPR. Essi sono anche concreti aspetti di prova, non solo per il titolare del trattamento, ma anche per il Garante in caso di attività ispettiva.
• aspetti procedurali
  Come sono trattati i dati? Tramite quali piattaforme o servizi? E, venendo ai data breach, esistono procedure specifiche per gestire un data breach in tutte le sue fasi? Sono previste procedure per rilevare un data breach? Esiste e viene tenuto aggiornato il registro delle violazioni?
• policy
  E' prevista una policy specifica per l'uso e la protezione dei dati personali? Questa prevede ed esplicita una procedura per valutare la conformità dei partner? Oppure prevede che il titolare del trattamento sia direttamente impegnato nelle attività di monitoraggio interno ed esterno?

In tutto questo il punto principale da tenere a mente è uno: le dichiarazioni di intenti, nel GDPR, non trovano casa. Non conta dichiarare buoni principi, quello che davvero conta è poter dimostrare la conformità al regolamento. Insomma, con il GDPR, le "chiacchiere stanno a zero", mentre conta la concretezza dei contratti, delle policy, delle procedure di trattamento ecc...