Il parere n. 22/2024 dell’European Data Protection Board (EDPB), richiesto dall’autorità di controllo danese (premere qui per leggerlo), pubblicato ieri, 9 ottobre 2024, offre importanti chiarimenti sull’applicazione armonizzata dell’articolo 28 del GDPR in merito agli obblighi dei responsabili nella gestione della catena di trattamento che coinvolge sub-responsabili (sub-processors). La questione è di particolare rilevanza per tutte le organizzazioni che affidano il trattamento dei dati a soggetti terzi e necessitano di allinearsi alle prescrizioni del GDPR, anche in contesti internazionali.
Obblighi di identificazione e monitoraggio nella catena dei responsabili
Secondo il parere dell’EDPB, l’obbligo di documentazione e verifica da parte del responsabile si estende a tutti i sub-responsabili coinvolti nella catena di trattamento. Il responsabile è tenuto a garantire che i responsabili a cui affida i dati rispettino garanzie tecniche ed organizzative adeguate, indipendentemente dal rischio associato all’attività di trattamento. In linea con il principio di accountability (articolo 5, par. 2 e articolo 24, par. 1 del GDPR), l’EDPB richiede che i responsabili possiedano in ogni momento le informazioni necessarie per identificare i sub-responsabili e che i responsabili del trattamento forniscano attivamente tali dati, tenendoli aggiornati.
Il ruolo del responsabile nell’autorizzazione dei sub-responsabili
L’EDPB sottolinea che il controllo sulle attività dei sub-responsabili è di esclusiva competenza del responsabile, il quale deve approvare specificamente o generalmente l’ingaggio di ogni sub-responsabile. In caso di autorizzazione generale, il controllore deve disporre di criteri guida per la selezione di eventuali sub-responsabili, basati su elementi di affidabilità e misure di sicurezza. La necessità di verifiche dettagliate è proporzionata al rischio specifico: per trattamenti che comportano rischi elevati, il responsabile deve condurre verifiche approfondite sui sub-responsabili e sui contratti stipulati per accertare il rispetto degli obblighi del GDPR.
Verifica dei contratti e garanzie sui trasferimenti di dati internazionali
Nel caso di trasferimenti di dati personali verso Paesi terzi (premere qui per approfondire), il responsabile deve garantire che la protezione dei dati non venga compromessa. A tal fine, l’EDPB raccomanda che il responsabile possa richiedere copia dei contratti di sub-trattamento per assicurare che le clausole di protezione siano effettivamente trasferite lungo la catena. Tale richiesta, però, non è obbligatoria; la verifica deve essere effettuata sulla base del rischio e della fiducia riposta nei sub-responsabili. Il rispetto degli obblighi previsti dal GDPR, inclusi quelli relativi ai trasferimenti di dati, rimane a carico del responsabile, che può tuttavia affidarsi alle informazioni fornite dai responsabili, purché siano adeguate e complete.
Conclusioni
Il parere dell’EDPB 22/2024 ribadisce il principio di responsabilità continua per il responsabile, nonché la necessità di vigilanza lungo tutta la catena di trattamento. Con l’obbligo di garantire un livello di protezione adeguato e verificare il rispetto del GDPR, l’EDPB conferma che l’impegno del titolare non si limita alla selezione del primo responsabile, ma si estende anche ai sub-responsabili, in un’ottica di tutela dei diritti dei soggetti interessati.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- L’armonizzazione degli standard per l’AI Act: verso una conformità normativa sicura e affidabile - Ottobre 31, 2024
- Consultazione della Commissione Europea sull’accesso ai dati delle piattaforme - Ottobre 29, 2024
- Sanzione del Garante Privacy a Postel S.p.A.: prevenzione e corretta segnalazione della violazione in caso di data breach - Ottobre 23, 2024
- Sul valore probatorio delle firme elettroniche nel processo - Ottobre 18, 2024
- Regolamento di Esecuzione della Commissione Europea per l’attuazione della Direttiva NIS2 - Ottobre 17, 2024