Background

Ai sensi dell’articolo 28 del Regolamento Generale sulla Protezione dei Dati (d’ora in avanti, “RGPD” o “Regolamento”), qualora un trattamento sia effettuato da un responsabile per conto del titolare è necessario che il responsabile stesso presenti garanzie sufficienti, tali da soddisfare i requisiti del RGPD. Il responsabile del trattamento, a sua volta, è tenuto a trattare i dati soltanto seguendo le istruzioni documentate del titolare e, qualora non rispetti le istruzioni ricevute o le disposizioni del RGPD, può essere chiamato a rispondere direttamente di fronte ai soggetti interessati e alle autorità competenti in termini risarcitori e/o sanzionatori.

Il 13 settembre 2017, l’Autorità Garante Inglese per la protezione dei dati personali, l’Information Commissioner’s Office (d’ora in avanti, “ICO”), ha pubblicato una bozza di guida (d’ora in avanti, “Guida”) concernente i contratti tra titolari e responsabili ai sensi dell’articolo 28 del Regolamento.

Contesto giuridico e principali questioni

La Guida fornisce una prima visione dell’ICO sul contenuto necessario che i contratti tra titolari e responsabili del trattamento devono contenere. Rinviando la descrizione dei singoli requisiti alla fonte principale, l’ICO fornisce un interessante elenco di controllo “must have” per aiutare i titolari ed i responsabili nella stipula del contratto stesso.

Secondo la Guida, un contratto deve indicare l’oggetto e la durata del trattamento dei dati, la natura e lo scopo dello stesso, il tipo di dati personali coinvolti e le categorie dei soggetti interessati, oltre che gli obblighi ed i diritti del titolare.

Il contratto deve prevedere, in particolare, che il responsabile del trattamento:

  • agisca soltanto su istruzioni scritte del titolare (salvo che sia richiesto dalla legge);
  • garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza;
  • adotti misure adeguate per garantire la sicurezza del trattamento (articolo 32 RGPD);
  • ricorra ad un sub-responsabile solo con il consenso del titolare e per mezzo di un contratto scritto;
  • assista il titolare del trattamento dei dati nel consentire ai soggetti interessati di esercitare i loro diritti ai sensi del Regolamento (articoli 15-22 RGPD);
  • assista il titolare del trattamento dei dati nel dimostrare il rispetto degli obblighi previsti dal RGPD concernenti la sicurezza del trattamento (articolo 32 RGPD), l’obbligo di notifica delle violazioni dei dati personali (articolo 33 RGPD) e la valutazione d’impatto sulla protezione dei dati (articolo 35 del RGPD);
  • cancelli o restituisca tutti i dati personali al titolare al termine del contratto;
  • metta a disposizione del titolare del trattamento tutte le informazioni necessarie per assicurare che entrambi (titolare e responsabile) soddisfino gli obblighi di cui all’articolo 28, e informi immediatamente il titolare stesso qualora, a suo parere, un’istruzione violi il Regolamento o altre disposizioni nazionali o dell’Unione, relative alla protezione dei dati.

Per quanto riguarda una buona prassi, il contratto deve:

  • stabilire che nessuna clausola del contratto riduca le responsabilità del responsabile del trattamento ai sensi del RGPD; e
  • stabilire eventuali indennizzi concordati.

Oltre a quanto descritto sopra, il responsabile è tenuto a:

  • trattare i dati personali soltanto su istruzioni scritte del titolare del trattamento (articolo 29 RGPD);
  • non utilizzare un sub-responsabile senza previa autorizzazione scritta del titolare (articolo 28.2 RGPD);
  • cooperare con le autorità di controllo (come l’ICO) ai sensi dell’articolo 31 del RGPD;
  • garantire la sicurezza del trattamento ai sensi dell’articolo 32 RGPD;
  • tenere un registro dei propri trattamenti conformemente a quanto previsto all’articolo 30.2 RGPD;
  • informare il titolare di eventuali violazioni di dati personali ai sensi dell’articolo 33 RGPD;
  • designare il responsabile della protezione dei dati personali ai sensi dell’articolo 37 RGPD;
  • nominare (per iscritto) un rappresentante all’interno dell’Unione Europea, se richiesto ai sensi dell’articolo 27 del RGPD.

Un responsabile del trattamento è tenuto a sapere che:

  • può essere assoggetto a poteri investigativi e correttivi delle autorità di controllo (come l’ICO) ai sensi dell’articolo 58 del RGPD;
  • se non rispetta i propri obblighi, può essere sanzionato a norma dell’articolo 83 e dell’articolo 84 del RGPD o essere tenuto al pagamento di un indennizzo ai sensi dell’articolo 82 del RGPD.

Certamente, il Regolamento consente l’utilizzo di clausole contrattuali standard elaborate dalla Commissione Europea o da un’autorità di controllo (come l’ICO) da poter utilizzare nei contratti tra titolari e responsabili del trattamento. Tuttavia, al momento, nessuna clausola standard è disponibile.

Implicazioni pratiche

La Guida è solo una prima bozza che rappresenta il punto di vista dell’ICO sull’articolo 28 del RGPD, che dovrà tenere conto degli orientamenti futuri emessi dalle altre autorità europee competenti.

A tal riguardo, le aziende dovranno continuare il loro processo di adeguamento al Regolamento, assicurandosi che vengano stipulati specifici contratti tra titolari e responsabili del trattamento (o sub-responsabili) che contengano l’insieme minimo di requisiti sopra descritti.

ICO accetterà suggerimenti fino al 10 ottobre 2017 da parte di chi ritenga che la Guida sia lacunosa con riferimento a determinati punti chiave.