Nuovo intervento dell’EDPB sul rapporto tra Titolari e Responsabili del trattamento

Con il Parere n. 22/2024 del 7 ottobre 2024 [1](di seguito: Parere) il Comitato europeo per la protezione dei dati (di seguito: EDPB), torna sulla gestione del rapporto tra titolari e responsabili del trattamento dei dati personali e fornisce utili indicazioni per la corretta impostazione del rapporto contrattuale, in particolare in presenza di sub-responsabili.

Il Parere adottato ai sensi dell’articolo 64, paragrafo 2, del Regolamento UE 2016/679 (GDPR o Regolamento), su richiesta di una autorità nazionale, interviene su alcuni obblighi derivanti dal ricorso a responsabili del trattamento e sub-responsabili del trattamento. Le indicazioni sono vincolanti per tutte Autorità di protezione dati in quanto espressione del principio di coerenza che guida tutto il Capo VII del Regolamento.

Ricordiamo come il tema era già stato fatto oggetto di particolare attenzione dall’EDPB con le Linee guida 07/2020 v. 2 adottate il 7 luglio 2021[2] sui concetti di titolare del trattamento e di responsabile del trattamento e dalla Commissione europea con la Decisione di esecuzione (UE) 2021/915[3] del 4 giugno 2021 che aveva definito le clausole contrattuali tipo per definire i rapporti tra titolari e responsabili del trattamento a norma dell’articolo 28 del GDPR. Anche l’indagine condotta sempre dall’EDPB nel 2022 nell’ambito del quadro di attuazione coordinata (Coordinated Enforcement Framework – CEF) sull’uso di servizi basati su cloud da parte del settore pubblico aveva individuato alcune criticità nei punti toccati oggi dal Parere.

Vediamo insieme i punti di maggiore interesse:

• Informazioni: i titolari del trattamento dovrebbero avere, facilmente disponibili in ogni momento, le informazioni sull’identità (nome, indirizzo, dati di contatto) relativamente a tutti i responsabili e sub-responsabili del trattamento, al fine di poter adempiere al meglio agli obblighi previsti dall’articolo 28 del GDPR, indipendentemente dal rischio specifico associato all’attività di trattamento. I responsabili del trattamento devono fornire tali informazioni in modo proattivo e mantenerle costantemente aggiornate.
• Garanzie di compliance: anche i responsabili del trattamento hanno l’obbligo di verificare che l’incarico a sub-responsabili non riduca il livello di protezione dei diritti degli interessati e, quindi, devono assicurarsi che gli stessi forniscano sufficienti garanzie per mettere in atto misure di sicurezza tali che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti degli interessati, indipendentemente dal grado di rischio.
• Responsabilità ultima: ricade comunque sul titolare l’obbligo di verificare che responsabili e sub-responsabili offrano garanzie sufficienti, a prescindere dai rischi per gli interessati; anche se il responsabile è tenuto a individuare sub-responsabili che siano in grado di offrire tali garanzie.
• Verifiche: il titolare del trattamento deve essere in grado di dimostrare di aver effettuato le verifiche di adeguatezza necessarie, indipendentemente dal rischio per i diritti e le libertà degli interessati, sebbene la profondità di tali verifiche possa variare, sulla base dei rischi associati al trattamento. Infatti, di fronte a trattamenti che presentano rischi elevati per i diritti e le libertà dei dati il responsabile del trattamento dovrebbe aumentare il livello di verifica anche in termini di controllo delle informazioni ricevute dal sub-responsabile.
• Documentazione richiesta: il titolare del trattamento non ha un obbligo sistematico di chiedere i contratti di sub-responsabile per verificare se gli obblighi in materia di protezione dei dati sono stati trasmessi lungo la catena di trattamento. Il titolare del trattamento dovrebbe valutare se la richiesta di una copia di tali contratti o il loro riesame siano necessari per poter dimostrare la conformità al GDPR.
• Trasferimento di dati verso paesi terzi: ove i trasferimenti avvengano tra responsabili e sub-responsabili del trattamento, il titolare deve comunque verificare che siano state applicate le salvaguardie necessarie ed esaminare la completezza della documentazione pertinente predisposta dal responsabile ad esempio relativa al motivo del trasferimento utilizzato, alla valutazione d’impatto del trasferimento e alle eventuali misure supplementari[4] sempre però con un approccio proporzionato al rischio del trasferimento.
• Formulazione dei contratti: viene fortemente consigliata l’inclusione di una clausola che espressamente preveda che il responsabile agisce solo su istruzioni documentate del titolare “tranne ove diversamente previsto dalla legislazione Ue o dello Stato membro cui il responsabile è soggetto”.

Come si vede, il fil rouge che si può trarre da tali indicazioni è sicuramente quello di un sempre maggior spazio a rafforzare l’applicazione del principio di accountability del titolare che pervade tutto il Regolamento. Grande potere e grande responsabilità.

[1] Cfr.: Parere sui responsabili del trattamento

[2] Cfr.: Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR

[3] Cfr.  Decisione di esecuzione (UE) 2021/915 della Commissione del 4 giugno 2021  

[4] Cfr. 1/2020: EDPB_Recommendations_202001(Vo.2.0)_IT_CLEAN.docx (europa.eu)