Il Responsabile del Trattamento dei Dati personali (RTD): chi è e che ruolo svolge

Il Network dei Responsabili della Protezione dei Dati delle Autorità amministrative indipendenti (di seguito: Network)[1] dopo la pubblicazione, nel mese di aprile dello scorso anno, del Documento sul ruolo e i compiti del Responsabile della Protezione dei Dati (di seguito: RPD, qui un focus su questa figura e il Documento integrale), ha posto ora la sua attenzione sulla figura del Responsabile del Trattamento dei Dati (di seguito: “RTD” o responsabile), sul ruolo e sui compiti come delineati dal Regolamento UE 2016/679 (di seguito: “RGDP” o Regolamento), sulle  responsabilità e soprattutto sulla centralità dei suoi rapporti con il Titolare del Trattamento dei Dati (di seguito: “titolare”) che rafforzano l’esigenza di fare chiarezza soprattutto sui contenuti di quei documenti che devono costituire testimonianza di  rapporti e procedure.

Il Documento su ruolo e compiti del Responsabile del Trattamento dei Dati

Anche questo secondo Documento, elaborato dal Network dopo mesi di riflessioni e approfondimenti sempre con l’obiettivo di lavorare insieme, definire standard comuni, elaborare format, procedure e best practice per  contribuire alla compliance al RGPD delle proprie organizzazioni, vuole sia fornire un contributo al dibattito in corso sui diversi temi trattati ma soprattutto aprirsi sempre più al confronto all’interno e all’esterno della pubblica amministrazione, nella convinzione che siamo di fronte ad una figura che pone tutti di fronte alle medesime sfide.

Ovviamente ciascuno saprà, nella sua autonomia e tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, cogliere ipotesi e strumenti più adeguati (procedura/regolamento interno, prassi, etc.) a definire governance e regole che devono presiedere alle diverse organizzazioni.

È disponibile il testo integrale del Documento. Di seguito si delineano, per ciascun capitolo, i tratti di maggiore interesse.

RTD: definizioni e responsabilità (Capitolo I)

Il Regolamento definisce il RTD come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta i dati personali per conto del titolare[2]. Un soggetto giuridico esterno all’organizzazione del titolare, che deve necessariamente presentare garanzie tali da assicurare di essere in grado di operare sempre nel pieno rispetto delle disposizioni in materia e, soprattutto, deve possedere la capacità di porre in atto misure tecniche e organizzative adeguate a garantire la tutela dei diritti dei soggetti interessati al trattamento.

Il rapporto tra le due figure apicali del trattamento dei dati personali, le modalità dell’individuazione, della costruzione, della gestione, della conclusione dei loro rapporti e, non ultime, le rispettive responsabilità sono al centro del dibattito tra gli addetti ai lavori e costituiscono oggetto di riflessioni ancora in atto.

Sicuramente devono costituire punto di riferimento di ogni confronto le Linee Guida n. 7/2020 del 7 luglio 2021 sui concetti di titolare e responsabile adottate dall’European Data Protection Board (di seguito “Linee Guida 7/2020”) laddove sottolineano come, per una corretta impostazione del rapporto tra i due soggetti, occorra in primo luogo assicurare:

• la preventiva verifica della necessità di ricorrere ad un soggetto esterno, come esplicitamente prevista dal par. 1 dell’art. 28 del RGPD: “qualora un trattamento debba essere effettuato per conto….”;
• che, ove necessario, la scelta ricada unicamente su soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato;
• la stipula fra i due soggetti di un contratto o di un altro atto giuridico valido sulla base del diritto dell’Unione o degli Stati membri (di seguito: “Atto”), che vincoli il responsabile al titolare e che regoli la materia e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi reciproci e i diritti dei soggetti interessati, le istruzioni e le misure tecniche e organizzative; tale Atto deve contenere tutti gli elementi idonei a circoscrivere l’oggetto dell’attività affidata al responsabile e a fornire al RTD tutte le istruzioni necessarie al corretto trattamento dei dati personali.

In particolare l’obbligo di compliance del fornitore, rilevante soprattutto per la PA in ragione delle procedure cui deve attenersi nel percorso di selezione, si colloca nella fase antecedente la stipula dell’Atto disciplinante i rapporti tra titolare e responsabile: il titolare deve prevedere la presenza di misure tecnico-organizzative adeguate, tra i requisiti tecnici resi noti e valutati ai fini dell’aggiudicazione del servizio o della fornitura (che fa riferimento al trattamento di dati personali relativi a persone fisiche) e, successivamente alla stipula dell’Atto, deve costantemente monitorare il permanere dei requisiti quale condizione specifica per una corretta gestione del rapporto.

Le istituzioni europee preposte al settore hanno, a più riprese, affermato con chiarezza che le pubbliche amministrazioni dovrebbero dare l’esempio nella protezione dei diritti e libertà fondamentali delle persone: «Public administrations are called be in the frontline»[3].  E, in tale direzione si muove, tra l’altro, l’indagine coordinata dall’EDPB ed avviata da 22 autorità nazionali di controllo.

Infine occorre sottolineare come, nel caso in cui a trattare i dati sia un soggetto diverso dal titolare, sia assolutamente necessario che i contenuti del rapporto siano regolati, per iscritto, da “un contratto” o da “un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri”, avente forza vincolante tra le parti. L’atto formale di conferimento dell’incarico dovrà dare conto di tutti quei profili tassativamente indicati all’art. 28 RGPD e posti a garanzia dell’idoneità del soggetto incaricato dello svolgimento dei compiti affidati.

Ove manchi di disciplinare uno di tali profili, l’Atto non può essere qualificato come valido ex art. 28 RGPD: ne consegue che, se stipulato in mancanza di tali elementi, si determina una violazione della norma [4].

Ad esempio una poco trasparente e generica definizione del rapporto che intercorre tra il titolare e il responsabile può giungere a determinare una insufficiente o non corretta individuazione della stessa base giuridica del trattamento posto in essere[5] e dar luogo all’avvio di un procedimento sanzionatorio da parte del Garante per la protezione dei dati personali (di seguito: “Garante”)[6] [7].

Occorre porre l’accento sul fatto che, nel determinare il contenuto dell’Atto, non sia sufficiente limitarsi a riprodurre la normativa comunitaria. Occorre attualizzare il documento: riferirsi al contesto dell’organizzazione, alla situazione effettiva in termini di dati trattati, alla tipologia dei soggetti interessati e delle caratteristiche dello specifico trattamento che il titolare affida al responsabile: i contenuti obbligatori ex art. 28 RGPD devono essere declinati nel caso concreto. I requisiti vanno mantenuti nel tempo e assicurati con periodiche attività di verifica.

Devono anche essere regolamentate in anticipo le conseguenze che la cessazione del rapporto (alla scadenza naturale o in caso di recesso anticipato) avrà sui dati personali affidati al RTD: sintomo e misura del grado di accountability del titolare.

Particolare attenzione va posta nei casi di designazione di sub-responsabili e in presenza di contitolarità nei trattamenti occorre definire con accuratezza rapporti e responsabilità tra i due o più soggetti che partecipano congiuntamente nella determinazione delle finalità e dei mezzi di una operazione di trattamento di dati personali. Anche il rapporto tra contitolari del trattamento deve trovare origine e fondamento in un “accordo interno”, da rendere noto ai soggetti interessati per rendere ciascuno edotto dei rispettivi ruoli, competenze e responsabilità in modo tale da poter effettivamente esercitare i loro diritti. L’accordo comunque non sottrae all’interessato la potestà di esercitare i propri diritti nei confronti di ciascun contitolare del trattamento. Ogni contitolare risponde in solido, per l’intero ammontare del danno al fine di garantire il risarcimento effettivo dell’interessato (cfr. RGPD 82, par. 4) salvo poi, proprio in base alle rispettive responsabilità definite nell’accordo, rivalersi a sua volta nei confronti degli altri contitolari.

Titolare e responsabile devono definire la propria organizzazione, i livelli delle responsabilità, le procedure e le modalità attraverso le quali i trattamenti di dati personali devono effettuati ed esplicitare i rispettivi obblighi.

In capo al titolare rimane sempre la responsabilità di dover dimostrare, effettivamente, di aver posto in essere tutte le attività necessarie per tutelare la fiducia concessa dall’interessato e ancor più quando si avvale di soggetti terzi per il relativo trattamento, cioè quando non è lui a trattare direttamente i dati che l’interessato gli ha affidato ma si avvale di altri, alterando così la scelta originaria e le ragioni alla base della scelta stessa.

La predisposizione di una definita check list[8] e la sua compilazione già nella fase di selezione, può consentire al titolare di agevolare l’individuazione di un soggetto che risponda alle caratteristiche dettate dalla normativa e correttamente avviare la costruzione del rapporto.

Sulla base del principio generale sancito dal Regolamento (cfr. art. 82), nel caso di violazione, il responsabile risponde, in solido col titolare, per il danno cagionato all’interessato. Al contrario, il responsabile risponde direttamente per il danno causato dal trattamento nel caso di non corretto adempimento degli obblighi previsti dalle norme espressamente a suo carico[9] ovvero se ha agito in modo difforme o contrario alle istruzioni del titolare. In sostanza si può giungere ad affermare che ove il responsabile violi le istruzioni del titolare, determinando autonomamente finalità e mezzi, vada, esso stesso, a configurarsi alla stregua di un titolare.

Un esonero di responsabilità può essere configurabile, ipoteticamente, solo nel caso in cui titolare, contitolare o responsabile dimostrino che l’evento dannoso non sia imputabile in alcun modo alla loro condotta (cfr. art. 82 par. 3 RGPD).

Selezione del contraente e clausole contrattuali (Capitolo II)

L’attenzione alle modalità (procedura e contenuti) di scelta del fornitore esterno che tratta i dati per conto del titolare assume un ruolo determinante per assicurare la compliance al Regolamento da parte della PA nella sua veste di titolare di un trattamento di dati personali.

L’approfondimento è stato focalizzato alla ricerca delle garanzie che, nel rispetto dei vincoli normativi propri della PA, possono trovare spazio nelle procedure vigenti al fine di assicurare che i RTD, aggiudicatari del servizio, oltre ad essere qualificati per la tipologia della fornitura o del servizio richiesto, “presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” (art. 28, par. 1 RGPD).

Siamo, oggi, di fronte all’esigenza di dover esplorare un campo nuovo con la consapevolezza che le garanzie e i requisiti fino ad ora richiesti non sono più sufficienti: è necessario alzare la soglia di attenzione.

Uno strumento a supporto della scelta va individuato nelle Standard Contractual Clauses (si seguito: SCC o anche CCT) approvate dalla Commissione UE con decisione di esecuzione (UE) 2021/915 del 4 giugno 2021, che individua e descrive nei dettagli le clausole contrattuali tipo che devono disciplinare i rapporti tra titolari e responsabili a norma dell’art. 28, par. 7 del RGPD e all’art. 29, par. 7 Regolamento UE 2018/1725 (EUDPR) (di seguito: “Decisione 2021/915”). Con tale intervento, la Commissione ha inteso regolare i rapporti tra istituzioni, organi o organismi dell’Unione, direzioni generali o unità organizzative che, nella loro qualità di titolari del trattamento, nell’ambito delle operazioni connesse al trattamento dei dati personali di persone fisiche, nel caso in cui si avvalgano di un soggetto terzo che opera quale responsabile del trattamento. L’obiettivo è quello di fornire una guida e allineare tra loro le norme sulla protezione dei dati del RGPD, applicabili al settore pubblico e privato negli Stati membri, e del Regolamento (UE) 2018/1725, applicabile alle istituzioni, agli organi e agli organismi dell’Unione (di seguito: EUDPR), per assicurare un approccio coerente alla protezione dei dati personali in tutta l’Unione e consentire la libera circolazione dei dati personali all’interno del territorio europeo.

Le SCC possono essere utilizzate, anche parzialmente in relazione alle situazioni concrete, per garantire il rispetto degli obblighi di cui ai paragrafi 3 e 4 dell’art. 28 del Regolamento.

La Decisione 2021/915 contiene dieci clausole [10](oltre a quattro allegati) che ricomprendono tutti gli obblighi previsti dall’art. 28 RGPD e vanno a costituire un punto di riferimento per il titolare che deve tenerne conto nella stesura del contratto che si appresta a stipulare con il responsabile del trattamento: il ricorso alle SCC facilita sicuramente la definizione di requisiti misurabili per la scelta del contraente.

Dal documento emerge in maniera evidente che, comunque:

• la sottoscrizione delle clausole non sottrae il titolare agli obblighi previsti dal Regolamento;
• il titolare deve sempre e comunque monitorare il trattamento effettuato per suo conto dal responsabile;
• le clausole devono essere coerenti con tutte le previsioni contrattuali.

Il Regolamento rimane il “faro” interpretativo delle previsioni contrattuali insieme alle linee guida degli organismi privacy europei, unitamente alle interpretazioni provenienti dalle istituzioni competenti, sia a livello comunitario che nazionale.

Alcuni casi particolari (Capitolo III)

Il Documento termina dedicando un ampio spazio alla disamina di alcune situazioni già portate all’attenzione del Garante e di altre che possono trovare una possibile chiave di lettura, in analogia ai contenuti di quei provvedimenti. Proprio da quanto già argomentato è possibile, infatti, trarre i principali requisiti che caratterizzano e qualificano la figura del responsabile rispetto alle altre figure che, con diverse sfumature, assumono ruoli rilevanti relativamente al trattamento dei dati: titolare, co-titolare, responsabile, sub-responsabile, designati, autorizzati al trattamento.

In particolare si affrontano molte delle figure presenti, con diverse sfumature, nel nostro Sistema Privacy: dagli organismi di valutazione e controllo, ai consulenti del lavoro, ai fornitori di hosting services e di servizi di assistenza informatica, ai Comitati regionali delle Comunicazioni fino ad arrivare al medico competente. Ovviamente non sono stati trascurati i fornitori di servizi cloud e l’impatto che ha avuto sul trasferimento internazionale dei dati la sentenza Schrems II. Vicenda questa che potrebbe essere ad una svolta in caso di esiti positivi (e concludenti) dell’accordo transatlantico stipulato il 25 marzo 2022 tra la Commissione Europea e la Presidenza degli Stati Uniti, che auspicabilmente dovrebbe porre le basi di una nuova stabile legittimazione per i flussi transfrontalieri dei dati personali.

Dalla diversa qualificazione deriva il diverso grado di autonomia e responsabilità tra le diverse figure e, di conseguenza necessariamente, l’approccio che il titolare deve avere nei loro confronti sempre con l’obiettivo di  assicurare la compliance della sua organizzazione ai principi della protezione delle persone fisiche con riguardo al trattamento dei loro dati personali.

[1]  Il Network ha tenuto la sua prima riunione a Roma il 15 giugno 2018. Registra oggi la partecipazione dei RPD delle principali autorità di settore e di alcuni organismi che ne supportano l’attività.

[2] Cfr. art. 4, par. 1, n. 8 RGPD.

[3] EDPS Opinion 5/2018, p. 8. Analogamente ENISA (cfr. ENISA 2015 Report, p. 50 ss.), secondo cui i servizi pubblici devono fungere da modello aumentando la domanda di soluzioni coerenti col principio di privacy by design, anche al fine di creare un mercato di servizi privacy-friendly.

[4] Cfr. Garante, Ordinanza ingiunzione nei confronti di Roma Capitale – 22 luglio 2021 [9698724], laddove “In relazione ai profili in materia di protezione dei dati personali, si rileva che le delibere di Roma Capitale …, con le quali è stato affidato il servizio in esame ad Atac s.p.a, non hanno le specifiche caratteristiche dell’atto giuridico che definisce il ruolo del Responsabile, in quanto non contengono gli elementi previsti dall’art. 28 del Regolamento”. Si afferma inoltre che “La mancata definizione del rapporto con i soggetti esterni … coinvolti nel trattamento, … ha comportato la violazione dell’art. 28 del Regolamento da parte di Roma Capitale.” (paragrafo 3.3, ultimi capoversi).

[5]  Linee Guida 7/2020, nota 42.

[6] Linee Guida 7/2020, punto n. 103, Coerentemente, nel Provvedimento del Garante n. 9 del 14 gennaio 2021 viene classificato illecito il trattamento di dati in assenza della designazione del responsabile.

[7] Garante, Ordinanza Roma Servizi per la mobilità 11 febbraio 2021, n. 49

[8] A titolo esemplificativo una check list dovrebbe verificare almeno i seguenti aspetti:

a) la designazione da parte del Responsabile di un DPO;

 b) l’adozione di procedure per la tutela dei diritti degli interessati;

c) la formazione dei dipendenti che operano sotto la sua direzione;

d) l’autorizzazione scritta di suddetti dipendenti;

e) l’elaborazione di un registro dei trattamenti;

f) l’adozione di procedure idonee per la gestione di eventuali violazione dei dati (cd. data breach);

g) l’adozione di misure di sicurezza quali l’anonimizzazione o la pseudonimizzazione;

h) l’adozione di procedure di penetration test e vulnerabilty test;

i) il possesso di eventuali certificazioni in materia di sicurezza;

l) la presenza di un piano di disaster recovery e di business continuity etc.

[9] Si pensi ad esempio agli art. 30, par.2 (obbligo di tenuta del Registro delle attività di trattamento), 32 (adozione delle misure di Sicurezza), 37 (nomina del responsabile della protezione dei dati).

[10] Si fa rinvio al Documento che nel dettaglio analizza clausole e allegati. In particolare:

• Descrizione del trattamento e oggetto dell’Atto. Finalità e durata
• Gli obblighi delle parti b) Sicurezza del trattamento e organizzazione del responsabile
• b) Sicurezza del trattamento e organizzazione del responsabile
• I poteri di controllo del titolare del trattamento
• ) Il ricorso a sub-responsabili
• La disciplina del trasferimento extra UE dei dati affidati al responsabile
• La cooperazione del responsabile negli adempimenti RGPD
• Clausole contrattuali tipo di carattere generale (clausole 2, 3 e 4 SCC)