La gestione in outsourcing dei dati personali e la nomina del Responsabile

 Il GDPR nel riportare la definizione di “responsabile del trattamento” fa riferimento in via esclusiva al responsabile esterno, per cui nel prosieguo dell’articolo quando si leggerà il termine “Responsabile del trattamento” si intenderà suddetta interpretazione che è la sola consentita dalla lettura del Regolamento (UE) n. 679/2016.

La nomina del Responsabile da parte del Titolare presuppone che quest’ultimo abbia compiuto in precedenza una congrua verifica volta ad accertare la capacità dei Responsabili di porre in essere misure tecniche ed organizzative adeguate, il tutto al fine di soddisfare i requisiti del Regolamento e la tutela dei diritti degli interessati.

Ai sensi del Considerando 81, il Titolare dovrà circoscrivere la scelta nei confronti di quei soggetti “”che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse per mettere in atto  misure tecniche e organizzative”.

Si richiama l’obbligo della firma di un contratto, in capo al Responsabile del trattamento, che dovrà disciplinare almeno i seguenti aspetti: la materia, la durata, le finalità del trattamento; in aggiunta al tipo di dati personali, alla categoria dei soggetti interessati ed agli obblighi ed ai diritti facenti capo al Titolare.

A tale riguardo sempre il Considerando 81 precisa che “l’esecuzione dei trattamenti da parte di un Responsabile del trattamento dovrebbe essere disciplinata da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri che vincoli il Responsabile del trattamento al Titolare del trattamento (omissis).

1) Quando è obbligatorio procedere alla nomina di un Responsabile trattamento dati

Corre l’obbligo in capo al titolare o al responsabile di nominare un Responsabile del trattamento dei dati personali in due ipotesi:

1.  Qualora il titolare affidi uno specifico trattamento a un responsabile;

2. Qualora un responsabile del trattamento affidi a un altro responsabile del trattamento l’esecuzione di specifiche attività di trattamento per conto del titolare.

2) Trattamento in outsourcing dei dati personali

I Responsabili esterni all’organizzazione del Titolare sono soggetti giuridicamente autonomi che svolgono in regime di outsourcing trattamenti di dati la cui Titolarità spetta all'Azienda/Ente.

 Nel trattamento dei dati personali ai quali ha accesso, il Responsabile esterno dovrà attenersi alle istruzioni del Titolare comunicando tempestivamente allo stesso l’insorgere di eventuali problematiche non regolamentate in tema di trattamento di dati personali comuni e/o sensibili e/o giudiziari.

Contestualmente alla nomina di tali soggetti quali Responsabili esterni del trattamento sarà introdotta nel contratto/convenzione una apposita formula di garanzia con la quale il soggetto esterno si impegna ad osservare compiutamente quanto disposto dalla normativa sul trattamento dei dati personali; il soggetto esterno si impegna, altresì, ad informare l’Azienda/Ente sulla puntuale adozione delle misure di sicurezza, in modo da evitare rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Suddetta clausola di garanzia prevede, inoltre, l’impegno del Responsabile esterno a non effettuare operazioni di comunicazione e diffusione dei dati personali sottoposti al trattamento verso soggetti terzi diversi dall’azienda committente, ad attenersi alle decisioni del Garante per la protezione dei dati personali e alle istruzioni che gli verranno impartite, in merito, dal Titolare.

3) Gli obblighi in capo al responsabile

In particolare, nel suddetto trattamento, dovranno essere osservati i seguenti obblighi:

• attenersi alle istruzioni impartite dal Titolare e dal Responsabile aziendale del trattamento;
• richiedere ed utilizzare soltanto i dati necessari per l’adempimento delle obbligazioni contrattuali;
• adottare tutte le misure delle quali si renda necessaria l’adozione immediata e urgente, al fine di procedere alla tutela dei dati e relazionare in merito al Titolare del trattamento dei dati in oggetto;
• segnalare tempestivamente al Titolare del trattamento l’opportunità di adozione delle misure di non immediata applicazione;
• attenersi ad un generale dovere di non divulgazione dei dati trattati o di cui sia venuto a conoscenza tramite altre fonti e al rispetto del Regolamento 2016/679 (UE);
• individuare e nominare per iscritto gli incaricati del trattamento (anche se tale adempimento non è espressamente previsto dal Regolamento, si ritiene che lo stesso rivesta ancor auna sua importanza per cui tale procedura andrebbe svolta, almeno sino ad un pronunciamento da parte del Garante italiano) specificando a quale tipologia di riferimento l’addetto è assegnato ( ad es: manutenzione hardware e/o software, fino a scendere nel dettaglio, ad es: addetti a manutenzione di applicativi di base, addetti a manutenzione di applicativi speciali, addetti alla manutenzione dell’hardware periferico, addetti alla manutenzione dell’hardware centrale, addetti alla manutenzione degli apparati facsimile, dei telefoni e da altri apparati di telecomunicazione; addetti al monitoraggio di rete; ecc.);
• adottare le misure di sicurezza e vigilare sul loro rispetto da parte degli incaricati, segnalando al Titolare del trattamento eventuali reclami da parte degli interessati, informando il Titolare del trattamento di qualunque fatto che possa compromettere la sicurezza dei dati trattati;
• adottare tutti i provvedimenti necessari ad evitare la perdita o la distruzione  dei dati e provvedere al recupero periodico degli stessi con copie di backup, assicurandosi della qualità delle stesse copie; ove il Responsabile in outsourcing fosse autorizzato, come da contratto, a tale trattamento dei dati:
• comunicare al Titolare con periodicità annuale l’elenco  dei soggetti nominati incaricati  al trattamento dei dati personali;
• collaborare con il Titolare del trattamento al fine di dare riscontro alle eventuali richieste avanzate dal Garante della privacy o da altra Autorità pubblica o dagli interessati del trattamento per l’esercizio dei loro diritti stabiliti dal Regolamento;
• verificare che i flussi di dati personali all’interno della Società e le comunicazioni di dati verso terzi avvengano con procedure atte a rispettare la confidenzialità e la riservatezza dei soggetti coinvolti;
• comunicare immediatamente al Titolare del trattamento gli eventuali nuovi trattamenti da intraprendere nel Suo settore di competenza, provvedendo alle necessarie formalità di legge;
• al termine del rapporto contrattuale, cancellare dalle Vostre banche dati o da altri supporti informatici, i dati personali trattati laddove la loro conservazione non sia più necessaria;
• rispettare gli altri obblighi stabiliti dal Regolamento;
• rispettare le istruzioni allegate alla  lettera di nomina che rappresentano il mansionario a cui attenersi e a cui fare attenere il personale nominato incaricato;
• inviare un rapporto semestrale al Titolare in merito al rispetto e all’adempimento del presente mansionario e di tutto ciò che è disciplinato dalla normativa di riferimento ed attiene alla Ditta stessa;
• svolgere attività di supporto riferita, in particolare, al salvataggio giornaliero/periodico dei dati applicativi dei server nei quali risiedono i software oggetto di assistenza da parte del Responsabile in outsourcing, come da contratto, ed eventuali ripristini.

4) Profili sanzionatori

Il Titolare e il Responsabile che violano le prescrizioni di cui all’articolo 28 sono soggetti a sanzioni amministrative pecuniarie fino a 10 milioni di euro e se è una impresa fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. (art. 83, par. 4, lett. a)