Responsable et sous-traitant : qui engage sa responsabilité ?

Responsabile e subappaltatore: chi è responsabile?

Osservatorio Legale n. 39 – Settembre 2021

Responsabile e subappaltatore: chi è responsabile? Molti titolari del trattamento dei dati si avvalgono di subappaltatori, sia nella gestione delle risorse umane, sia nella pubblicità mirata o nella sicurezza dei dati.

Il ricorso a un subappaltatore non è irrilevante ai sensi del GDPR, che specifica e rafforza le rispettive responsabilità dei diversi attori.

Quando si parla di subappalto?

La CNIL cita a titolo informativo una serie di organizzazioni:

  • Fornitori di servizi IT (hosting, manutenzione, ecc.), integratori di software, aziende di sicurezza IT, aziende di servizi digitali,
  • Agenzie di marketing o di comunicazione che elaborano dati personali per conto dei clienti e
  • Più in generale, qualsiasi organizzazione (pubblica o privata) che offre un servizio o una prestazione che comporta il trattamento di dati personali per conto di un'altra organizzazione.

Gli editori di software o i produttori di hardware (lettori di badge, apparecchiature biometriche, apparecchiature mediche) che non hanno accesso ai dati personali e non li elaborano non sono considerati subappaltatori.

Responsabilità del subappaltatore rafforzata dal GDPR

Il regolamento europeo mira a responsabilizzare in modo più equilibrato tutti gli attori coinvolti nel trattamento dei dati personali.

In particolare, i subappaltatori stanno assistendo all'evoluzione del loro ruolo verso una maggiore proattività: non si limitano più a seguire le istruzioni del titolare del trattamento, ma devono, ai sensi dell'articolo 28 del GDPR, assisterlo nel processo di conformità in corso: analisi di impatto, notifica delle violazioni, sicurezza, distruzione dei dati, contributo agli audit.

Chi è responsabile? Quali sono i rischi per il titolare del trattamento?

Prima dell'entrata in vigore del GDPR, il titolare del trattamento doveva rendere conto delle azioni del suo subappaltatore: quest'ultimo doveva fornire garanzie sufficienti per assicurare l'attuazione delle misure di sicurezza e riservatezza dei dati, ma era responsabilità del titolare del trattamento garantire il rispetto di tali obblighi: "la circostanza che una violazione dei dati possa aver avuto origine da un errore commesso da un subappaltatore non ha alcuna influenza sull'obbligo del titolare del trattamento di garantire un monitoraggio rigoroso delle azioni svolte da quest'ultimo", come evidenziato da una delibera della CNIL del 6 settembre 2018, che ha imposto una sanzione pecuniaria al titolare del trattamento.

Sebbene il GDPR non esoneri il titolare del trattamento dai propri obblighi, prevede una maggiore responsabilità per il subappaltatore.

Lo ha chiarito la CNIL quest'anno, nella sua prima decisione risalente a gennaio 2021.

In un caso di credential stuffing*, il responsabile e il subappaltatore hanno impiegato più di un anno per implementare lo strumento per rilevare e bloccare gli attacchi al sito web.

Il gestore è stato multato di 150.000 euro e il subappaltatore di 75.000 euro.

La CNIL specifica che "il titolare del trattamento deve decidere in merito all'attuazione delle misure e impartire istruzioni documentate al suo subappaltatore. Ma il subappaltatore deve anche ricercare le soluzioni tecniche e organizzative più appropriate per garantire la sicurezza dei dati personali e proporle al titolare del trattamento".

Prima di tutto: stabilire chiaramente ruoli e responsabilità in un contratto

Il presente contratto può basarsi, in tutto o in parte, su clausole contrattuali standard (SCC).

Dal 2019, tre autorità europee per la protezione dei dati (danese, slovena e lituana) hanno adottato clausole contrattuali tipo (SCC) sui responsabili del trattamento, sulle quali il Comitato europeo per la protezione dei dati (EDPB) ha emesso un parere. Il 4 giugno 2021, la Commissione europea ha pubblicato le sue clausole contrattuali tipo (SCC) tra titolari del trattamento e responsabili del trattamento ai sensi del GDPR e del Regolamento (UE) 2018/1725.

La CNIL fornisce anche esempi di clausole contrattuali nella sua guida per i subappaltatori.

Il contratto deve definire:

  • Scopo e durata del servizio
  • La natura e la finalità del trattamento
  • La tipologia di dati personali trattati
  • Categorie di persone interessate
  • Obblighi e diritti del cliente in qualità di titolare del trattamento
  • Gli obblighi e i diritti del subappaltatore previsti dall'articolo 28 del GDPR

Il subappaltatore è tenuto in particolare ai seguenti obblighi:

  • Nominare un responsabile della protezione dei dati, se si tratta di un'autorità o di un ente pubblico, se effettua un monitoraggio regolare e sistematico di individui su larga scala o tratta su larga scala dati cosiddetti "sensibili" o dati relativi a condanne penali e reati.
  • Documentare le attività di subappalto e tenere un registro delle operazioni di elaborazione
  • Offrire strumenti che rispettino i dati personali (ad esempio, interfaccia per le informazioni personali, link per annullare l'iscrizione)
  • Aiutare il titolare del trattamento a rispondere alle richieste di esercizio dei diritti degli individui
  • Garantire la sicurezza dei dati raccolti.

Le problematiche di sicurezza sono tra quelle che più spesso danno origine a violazioni e controversie. Si consiglia pertanto al titolare del trattamento di:

  • Richiedere al fornitore del servizio di comunicare la propria politica di sicurezza dei sistemi informativi;
  • Per garantire e documentare l'efficacia delle garanzie offerte dal subappaltatore in materia di protezione dei dati.
  • Per verificare l'efficacia delle misure, ad esempio attraverso audit di sicurezza o visite alle strutture.

* Il credential stuffing è un tipo di attacco informatico in cui le informazioni rubate sugli account, solitamente costituite da elenchi di ID utente e password associate (spesso ottenuti fraudolentemente), vengono utilizzate per ottenere l'accesso non autorizzato agli account utente tramite richieste di accesso automatizzate su larga scala ad applicazioni web.

E anche

Francia:

Fuga di dati dagli Ospedali pubblici di Parigi (AP-HP) Sono stati notificati alla CNIL circa 1,4 milioni di casi di persone sottoposte a test per il COVID-19 a metà del 2020. La Commissione e il governo hanno pubblicato una nota informativa per le persone interessate.

L'ANSSI pubblica raccomandazioni riguardanti la sicurezza degli oggetti connessi.

UN servizio di monitoraggio e protezione contro le interferenze digitali esterne (Viginum) è stato creato con decreto il 13 luglio. La sua missione è individuare e analizzare i contenuti ostili alla Francia sulle piattaforme digitali, orchestrati dall'estero.

La messaggistica istantanea è una corrispondenza privata : in una sentenza del 23 luglio, il Tribunale industriale di Meaux ha deciso che la società Eurodisney non poteva licenziare un dipendente sulla base di una conversazione su Messenger alla quale non era autorizzata ad accedere, anche se questo servizio di messaggistica non era protetto da password.

Europa:

La Commissione europea ha annunciato il 15 settembre un iniziativa legislativa riguardante la sicurezza informatica degli oggetti connessiCiò integrerà la proposta di direttiva NIS2 sulla sicurezza delle reti.

Dopo più di un anno di trattative, Gli Stati Uniti e l'Europa non hanno ancora raggiunto un accordo sui trasferimenti transatlantici di datiQuesti colloqui mirano a colmare il vuoto giuridico lasciato dalla sentenza Schrems II della Corte di giustizia europea che ha annullato il Privacy Shield.

Tuttavia, si stanno compiendo sforzi di cooperazione, ad esempio nel campo dell'intelligenza artificiale e della regolamentazione delle piattaforme che distribuiscono contenuti illegali online.

È quanto emerge dal comunicato inaugurale del Consiglio UE-USA per il commercio e la tecnologia del 29 settembre.

Dal 27 settembre, i trasferimenti di dati verso un paese al di fuori dell'Unione Europea che si ritiene non fornisca un livello di protezione adeguato devono essere basati sul versione modernizzata delle clausole contrattuali standard della Commissione europea, pubblicata il 4 giugno.

Il Garante europeo della protezione dei dati ha pubblicato il 24 settembre un parere sulla proposta della Commissione europea riguardante la lotta al riciclaggio di denaro, in cui sottolinea i principi di necessità e proporzionalità dei dati personali raccolti.

L'autorità belga ha pubblicato il 23 settembre un avviso riguardante l'estensione dell'utilizzo del Covid Sicuro Biglietto per luoghi ed eventi della vita quotidiana.

Si ricorda l’obbligo di dimostrare la necessità e la proporzionalità di questo “passaporto sanitario” e l’ingerenza nella vita privata che esso implica.

L'autorità irlandese è ancora considerata dagli ambienti addetti alla protezione dei dati come un collo di bottiglia per quanto riguarda la conformità al GDPR..

Notiamo tuttavia la sua comunicazione del 17 settembre, congiunta con l'autorità italiana, per quanto riguarda laimpatto delle funzioni video e foto degli occhiali Facebook in materia di privacy.

Allo stesso tempo, L'autorità norvegese ha annunciato la decisione di non utilizzare più Facebook per le sue comunicazioni, a seguito di una valutazione d'impatto sulla protezione dei dati.

IL Ministero della Difesa della Lituania ha raccomandato in una comunicazione del 21 settembre di non utilizzare il telefoni cinesi come Xiaomi Corp che integra un software per rilevare e censurare determinati messaggi.

Internazionale:

Il primo G7 delle autorità per la protezione dei dati ha riunito il 7 e l'8 settembre le autorità di Francia, Italia, Canada, Gran Bretagna, Germania, Giappone e Stati Uniti, sotto la presidenza del Regno Unito.

Le autorità hanno discusso questioni relative alla protezione internazionale dei dati, tra cui i flussi di dati transfrontalieri, le questioni legate alla pandemia e lo sviluppo dell'intelligenza artificiale.

Uruguay, considerato dall'Unione Europea come un Paese che garantisce un livello adeguato di protezione dei dati personali, ha aggiornato la propria valutazione dei paesi verso i quali il trasferimento dei dati è legalmente possibile.

Questa valutazione esclude gli Stati Uniti Paesi con un livello di protezione adeguato.

I trasferimenti di dati tra l'Uruguay e gli Stati Uniti dovranno ora prevedere garanzie specifiche, come il rispetto di opportune clausole contrattuali.

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.

Scopri Viqtor®
it_ITIT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL it_ITIT