Ruolo e responsabilità del “responsabile del trattamento” nell’ecosistema del GDPR

Posted onAuthorNicola Nappi

Tempo di lettura stimato:5 Minuti, 38 Secondi

Il responsabile del trattamento, definito in modo puntuale dall’art. 4 del GDPR, rappresenta una figura cardine nella gestione dei dati personali. Questo soggetto, noto anche come data processor, agisce su incarico del titolare del trattamento, ossia colui che determina finalità e mezzi del trattamento stesso. La disciplina di riferimento, delineata principalmente agli artt. 28 e seguenti del Regolamento, attribuisce al responsabile precisi obblighi e ne delimita con rigore le responsabilità.

Una delle prerogative fondamentali nella scelta del responsabile del trattamento è l’esigenza di selezionare un soggetto in grado di offrire garanzie adeguate. Queste riguardano sia la capacità di implementare misure tecnico-organizzative proporzionate, sia il rispetto dei principi di sicurezza e tutela dei diritti degli interessati. Non si tratta di una scelta meramente formale: la valutazione delle competenze del responsabile è un obbligo che il titolare deve assolvere con diligenza, onde evitare di compromettere la compliance al GDPR.

Nel caso in cui il responsabile intenda avvalersi di un sub-responsabile (ad esempio, un fornitore terzo), il GDPR impone una procedura specifica. È necessaria infatti un’autorizzazione preliminare da parte del titolare del trattamento, che può essere concessa in forma specifica o generale. E tale aspetto ci permette di soffermarci sull’importanza del controllo continuo che il titolare deve mantenere lungo la catena del trattamento. Questo perché la responsabilità ultima per la corretta gestione dei dati personali ricade sempre sul titolare, anche quando il trattamento è delegato a responsabili o sub-responsabili. La natura complessa e stratificata dei processi di trattamento, soprattutto in contesti di outsourcing, rende indispensabile una supervisione costante per garantire che ogni attore rispetti le normative e le istruzioni impartite.

Il controllo continuo è infatti necessario per assicurare che:

  • non vengano introdotte vulnerabilità nei processi di trattamento, ad esempio attraverso il coinvolgimento di sub-responsabili non conformi o mediante l’adozione di pratiche operative difformi rispetto agli accordi contrattuali;
  • i dati personali rimangano protetti da accessi non autorizzati, perdite, o altre forme di abuso, mantenendo l’integrità e la riservatezza imposte dall’art. 32 GDPR;
  • le responsabilità lungo la filiera siano chiare e documentate, consentendo al titolare di rispondere in modo puntuale e dimostrabile alle richieste delle autorità di controllo o degli interessati.

A tutto ciò va aggiunto che un controllo insufficiente potrebbe portare a situazioni in cui il responsabile o i sub-responsabili determinano autonomamente finalità o modalità del trattamento, configurandosi così come titolari “de facto, con il rischio di disallineamenti rispetto alle finalità originarie. Tale situazione, oltre a rappresentare una violazione, espone il titolare a conseguenze dirette sia sul piano giuridico che reputazionale.

Per meglio comprendere questo aspetto si pensi al caso di un’azienda di e-commerce (il titolare del trattamento) che affida a una società specializzata in e-mail marketing (il responsabile del trattamento) la gestione delle proprie campagne promozionali. Il relativo contratto tra le parti specifica che la piattaforma invierà e-mail ai clienti dell’azienda seguendo un piano promozionale dettagliato fornito dal titolare, con l’obbligo per il responsabile di trattare i dati esclusivamente per queste finalità.

Ora, durante l’esecuzione del contratto, la società di e-mail marketing decide, senza consultare il titolare: di analizzare i dati dei destinatari per segmentarli in gruppi, allo scopo di proporre loro servizi propri (non legati al titolare),  di utilizzare i dati personali raccolti (es. nomi, e-mail e cronologia degli acquisti) per finalità di profilazione e vendita a terze parti interessate alla pubblicità mirata ed infine di modificare le modalità di invio delle e-mail (ad esempio, programmando invii automatici per scopi diversi da quelli definiti dal titolare).

Ecco che è chiaro che in questo casi la società di e-mail marketing non agisce più come responsabile che si limita a seguire le istruzioni del titolare, ma prende decisioni autonome sulle finalità (profilazione e vendita a terzi) e sulle modalità del trattamento (modifica degli invii). Questa condotta configura di fatto un’assunzione di ruolo da titolare del trattamento, in quanto determina gli obiettivi e i mezzi del trattamento in modo indipendente.

La società di e-mail marketing dovrà dunque essere considerata necessariamente come titolare del trattamento e sarà soggetta alle sanzioni previste dal GDPR, anche per eventuali violazioni legate all’utilizzo dei dati senza il consenso degli interessati. Diventando titolare, inoltre, sarà tenuta a rispettare tutti gli obblighi previsti dal GDPR, inclusa l’informativa trasparente agli interessati, la gestione delle richieste di esercizio dei diritti e l’adozione di una base giuridica per le nuove finalità. Ed allora in uno scenario simile anche il titolare iniziale potrebbe subire ripercussioni (sanzioni o danni reputazionali), non avendo vigilato adeguatamente sull’operato del responsabile, divenuto titolare di fatto!

Fatta questa breve digressione, è opportuno qui sottolineare che la relazione tra titolare e responsabile deve essere formalizzata tramite un contratto o altro atto giuridico vincolante. Questo documento è ben più di una mera formalità burocratica, rappresentando invece il cuore dell’accordo e deve contenere:

  • la durata del trattamento;
  • le finalità specifiche;
  • le categorie di dati personali trattati e di interessati coinvolti;
  • i diritti e gli obblighi reciproci delle parti.

Nel contratto devono altresì essere definite le modalità operative con cui il responsabile si impegna a rispettare le istruzioni impartite dal titolare e garantire l’adozione di misure di sicurezza adeguate, come previsto dall’art. 32 GDPR.

Va detto che comunque il ruolo del responsabile del trattamento non si traduce a mero esecutore delle istruzioni impartite dal titolare, ma anzi esso ha un ruolo proattivo nell’assistenza al titolare. Tra i compiti principali vanno certamente evidenziati quello di:

  1. collaborare nell’adozione di misure tecnico-organizzative che garantiscano la protezione dei dati personali;
  2. attuare direttamente misure di sicurezza idonee, in conformità ai requisiti dell’art. 32 GDPR;
  3. segnalare tempestivamente eventuali violazioni dei dati personali (data breach);
  4. garantire che il proprio personale e gli eventuali sub-responsabili siano adeguatamente formati e istruiti.

Alla luce di tutto quanto sin qui esposto, possiamo affermare che il responsabile del trattamento è una figura che opera in un contesto giuridico estremamente delineato. La sua attività deve essere orientata alla massima trasparenza e conformità, in sinergia con il titolare del trattamento. Solo attraverso una rigorosa applicazione degli obblighi previsti dal GDPR è possibile garantire la salvaguardia dei dati personali e prevenire i rischi derivanti da un trattamento inadeguato.

Per approfondire:

- G. FINOCCHIARO, La protezione dei dati personali in Italia, Bologna, 2019;

- M. G. RICCIO, G. SCORZA, E. BELISARIO, GDPR e Normativa Privacy Commentario, Padova, 2018;

- R. SCIAUDONE, E. CARAVÀ, Il codice della privacy - Commento al D. Lgs. 30 giugno 2003, n. 196 e al D. Lgs. 10 agosto 2018 n. 101 alla luce del Regolamento (UE) 2016/679 (GDPR), Pisa, 2019; 

- S. SICA, V. ZENO ZENCOVICH, Manuale di diritto dell'informazione e della comunicazione, Padova, 2019; 

- A. CICCIA MESSINA, N. BERNARDI, Privacy e Regolamento Europeo, Padova, 2017
The following two tabs change content below.
Il mio profilo FacebookIl mio profilo LinkedIn

Nicola Nappi

⚖️ Diritto commerciale, assicurativo, bancario, delle esecuzioni, di famiglia. Diritti reali, di proprietà, delle locazioni e del condominio. IT Law. a Studio Legale Nappi
*Giurista, Master Universitario di II° livello in Informatica Giuridica, nuove tecnologie e diritto dell'informatica, Master Universitario di I° livello in Diritto delle Nuove Tecnologie ed Informatica Giuridica, Corso di Specializzazione Universitario in Regulatory Compliance, Corso di Specializzazione Universitario in European Business Law, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Le procedure di investigazione e di rimozione dei contenuti digitali, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Intelligenza Artificiale, attacchi, crimini informatici, investigazioni e aspetti etico-sociali, Master Data Protection Officer, Consulente esperto qualificato nell’ambito del trattamento dei dati.