Responsabilità condivisa dei subappaltatori

Estratto dal libro di Bruno DUMAY: GDPR DECRYPTION – Per manager, dipartimenti strategici e dipendenti di aziende e organizzazioni – Prefazione di Gaëlle MONTEILLER

In tutto il testo, i responsabili del trattamento sono menzionati insieme ai titolari del trattamento. Ai sensi degli articoli 4-8, un responsabile del trattamento è "una persona fisica o giuridica, un'autorità pubblica, un'agenzia o altro organismo che tratta dati personali per conto del titolare del trattamento". Può agire solo nell'ambito di un contratto o di altro atto giuridico dell'Unione Europea, che ribadisca i suoi obblighi in materia di protezione dei dati (articolo 28-3).

Nel settembre 2017, la CNIL ha pubblicato una Guida del subappaltatore che ne chiarisce il ruolo e la natura nella catena di trattamento e protezione dei dati.

Nonostante la sua definizione precisa, il termine subappaltatore può applicarsi a numerose strutture, elencate di seguito:

“– Fornitori di servizi IT (hosting, manutenzione, ecc.), integratori di software, società di sicurezza informatica, società di servizi digitali o ex società di servizi e ingegneria IT (SSII) che hanno accesso ai dati;

– agenzie di marketing o di comunicazione che elaborano dati personali per conto dei clienti;

– più in generale, qualsiasi organizzazione che offra un servizio o una prestazione che implichi il trattamento di dati personali per conto di un’altra organizzazione;

– anche un ente pubblico o un’associazione possono essere tenuti a conseguire tale qualifica”.

Si prega di notare che, quando il trattamento dei dati avviene per proprio conto (ad esempio, nella gestione del personale), il subappaltatore è responsabile del trattamento. Ciò vale anche se determina autonomamente le finalità e i mezzi del trattamento.

In caso di dubbio sulla qualifica di titolare o responsabile del trattamento, la CNIL rinvia al parere del 16 febbraio 2010 delle autorità di controllo europee, che indica una serie di indizi che possono essere utilizzati:

– l’autonomia del prestatore di servizi nello svolgimento della propria prestazione;

– monitoraggio del servizio;

– il valore aggiunto, ovvero la competenza, fornita dal fornitore del servizio;

– il grado di trasparenza riguardo all’utilizzo di un fornitore di servizi (la sua identità è nota alle persone interessate che utilizzano i servizi del cliente?).

Ai sensi del GDPR, il responsabile del trattamento è solidalmente responsabile. Esso "assiste il titolare del trattamento nel garantire il rispetto degli obblighi" (art. 28-3f). Tiene un "registro di tutte le categorie di attività di trattamento svolte per conto del titolare del trattamento" (art. 30-2). E, nella maggior parte dei casi, deve anche nominare un responsabile della protezione dei dati (art. 37), su cui torneremo più avanti.

La CNIL precisa nella sua guida cosa si intende per “garanzie sufficienti” che il subappaltatore deve fornire per poter realizzare il suo lavoro:

– trasparenza e tracciabilità (contratto, istruzioni, registro e tutte le informazioni necessarie a comprovare il rispetto degli obblighi);

– protezione dei dati fin dalla progettazione e per impostazione predefinita (trattamento minimo, correlato alla finalità e solo a tale finalità, durata limitata);

– sicurezza dei dati trattati (riservatezza, notifica in caso di violazione dei dati, cancellazione o restituzione dei dati al termine del servizio);

– assistenza, allerta e consulenza.

Se anche il subappaltatore subappalta, deve prima ottenere l'autorizzazione scritta del titolare del trattamento (art. 28-2). Questo secondo subappaltatore è soggetto agli stessi obblighi, anche se stabilito al di fuori dell'Unione Europea. In caso di inadempimento, il primo subappaltatore è ritenuto responsabile. In altre parole, in caso di problemi, non è possibile giustificare un trattamento non conforme al GDPR invocando la sede di un fornitore di servizi in Marocco o a Singapore.

La CNIL raccomanda di modificare i contratti vigenti, tramite emendamenti, al fine di includere le clausole obbligatorie previste dalla normativa europea.

Se un subappaltatore opera in diversi paesi dell'UE, è possibile ricorrere allo sportello unico. L'articolo 56-1 stabilisce che l'"autorità capofila" sarà quella dello stabilimento principale. Se un subappaltatore non ha uno stabilimento nell'UE, deve nominare un rappresentante, che fungerà da referente per gli interessati e le autorità di controllo.

Le sanzioni applicate a un subappaltatore in caso di mancato rispetto dei propri obblighi possono essere altrettanto severe di quelle imposte a un titolare del trattamento dei dati.