Chiarimenti dell’EDPB sugli obblighi di responsabilità nel rapporto tra responsabile e sub-responsabile

Tempo di lettura stimato:2 Minuti, 29 Secondi

Il parere n. 22/2024 dell’European Data Protection Board (EDPB), richiesto dall’autorità di controllo danese (premere qui per leggerlo), pubblicato ieri, 9 ottobre 2024, offre importanti chiarimenti sull’applicazione armonizzata dell’articolo 28 del GDPR in merito agli obblighi dei responsabili nella gestione della catena di trattamento che coinvolge sub-responsabili (sub-processors). La questione è di particolare rilevanza per tutte le organizzazioni che affidano il trattamento dei dati a soggetti terzi e necessitano di allinearsi alle prescrizioni del GDPR, anche in contesti internazionali.

Obblighi di identificazione e monitoraggio nella catena dei responsabili

Secondo il parere dell’EDPB, l’obbligo di documentazione e verifica da parte del responsabile si estende a tutti i sub-responsabili coinvolti nella catena di trattamento. Il responsabile è tenuto a garantire che i responsabili a cui affida i dati rispettino garanzie tecniche ed organizzative adeguate, indipendentemente dal rischio associato all’attività di trattamento. In linea con il principio di accountability (articolo 5, par. 2 e articolo 24, par. 1 del GDPR), l’EDPB richiede che i responsabili possiedano in ogni momento le informazioni necessarie per identificare i sub-responsabili e che i responsabili del trattamento forniscano attivamente tali dati, tenendoli aggiornati.

Il ruolo del responsabile nell’autorizzazione dei sub-responsabili

L’EDPB sottolinea che il controllo sulle attività dei sub-responsabili è di esclusiva competenza del responsabile, il quale deve approvare specificamente o generalmente l’ingaggio di ogni sub-responsabile. In caso di autorizzazione generale, il controllore deve disporre di criteri guida per la selezione di eventuali sub-responsabili, basati su elementi di affidabilità e misure di sicurezza. La necessità di verifiche dettagliate è proporzionata al rischio specifico: per trattamenti che comportano rischi elevati, il responsabile deve condurre verifiche approfondite sui sub-responsabili e sui contratti stipulati per accertare il rispetto degli obblighi del GDPR.

Verifica dei contratti e garanzie sui trasferimenti di dati internazionali

Nel caso di trasferimenti di dati personali verso Paesi terzi (premere qui per approfondire), il responsabile deve garantire che la protezione dei dati non venga compromessa. A tal fine, l’EDPB raccomanda che il responsabile possa richiedere copia dei contratti di sub-trattamento per assicurare che le clausole di protezione siano effettivamente trasferite lungo la catena. Tale richiesta, però, non è obbligatoria; la verifica deve essere effettuata sulla base del rischio e della fiducia riposta nei sub-responsabili. Il rispetto degli obblighi previsti dal GDPR, inclusi quelli relativi ai trasferimenti di dati, rimane a carico del responsabile, che può tuttavia affidarsi alle informazioni fornite dai responsabili, purché siano adeguate e complete.

Conclusioni

Il parere dell’EDPB 22/2024 ribadisce il principio di responsabilità continua per il responsabile, nonché la necessità di vigilanza lungo tutta la catena di trattamento. Con l’obbligo di garantire un livello di protezione adeguato e verificare il rispetto del GDPR, l’EDPB conferma che l’impegno del titolare non si limita alla selezione del primo responsabile, ma si estende anche ai sub-responsabili, in un’ottica di tutela dei diritti dei soggetti interessati.