La figura del sub-responsabile del trattamento ricorre in tutte quelle ipotesi nelle quali chi già assume il ruolo di responsabile del trattamento sceglie di coinvolgere un ulteriore soggetto per svolgere le attività sui dati personali per conto del titolare. Citando le Linee Guida EDPB 7/2020, in questo modo si va a realizzare un’estensione della catena di esternalizzazione, comportando così una maggiore complessità correlata ai rapporti di fornitura e sub-fornitura. Complessità che, in ragione del principio di accountability, deve essere necessariamente gestita da parte del titolare del trattamento e di conseguenza va a ricadere nell’ambito della sua responsabilità di organizzazione.
“Sebbene la catena possa essere alquanto lunga, il titolare del trattamento mantiene un ruolo centrale nella determinazione della finalità e dei mezzi dello stesso. L’articolo 28, paragrafo 2, del GDPR stabilisce che il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento (anche in formato elettronico).
In caso di autorizzazione scritta generale, il responsabile deve informare il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare di cui sopra la possibilità di opporsi a dette modifiche. In entrambi i casi, prima che qualsivoglia trattamento di dati personali sia affidato al sub-responsabile del trattamento, il responsabile deve ottenere l’autorizzazione scritta del titolare dello stesso. Per effettuare la valutazione e decidere se autorizzare o meno tale ulteriore esternalizzazione, il responsabile del trattamento dovrà fornire al titolare un elenco dei sub-responsabili previsti (contenente, per ciascuno di essi: l’ubicazione, le modalità di esecuzione e la prova delle garanzie messe in atto).”
( Linee Guida EDPB 7/2020)
Questo ruolo centrale del titolare trova innanzitutto un riscontro documentale all’interno dei registri adottati da parte dei responsabili, dal momento che svolgono una funzione di rendicontazione delle categorie di trattamenti svolte per ciascun titolare. Grazie alla possibilità di poter aggiungere informazioni ulteriori all’interno dei registri tenuti, possono anche dettagliare al loro interno criteri ed istruzioni documentate da dover rispettare componendo così una sorte di prontuario delle attività di trattamento delegate. Con tutti i benefici organizzativi correlati.
Innanzitutto, ha la funzione di essere un documento di riferimento per l’organizzazione al fine di agevolare una chiara e corretta comprensione del ruolo e delle responsabilità di supply chain. Inoltre, consente di migliorare l’attività di controllo del titolare per la gestione dei rapporti di fornitura per il riscontro tanto degli adempimenti quanto dell’esigenza di aggiornare la regolamentazione dei rapporti intercorrenti.
Chiarire le regole: autorizzazioni ed istruzioni
La regolamentazione dei rapporti intercorrenti tra titolare e sub-responsabili deve necessariamente trovare un riscontro documentale. Così, l’art. 28 par. 2 GDPR richiama innanzitutto la condizione della sussistenza di un’autorizzazione scritta, generale o specifica, affinché un responsabile possa ricorrere ad ulteriori responsabili. Autorizzazione che può anche essere soggetta a condizioni, dal momento che sta al titolare definire i criteri di selezione non solo dei responsabili bensì anche dei sub-responsabili.
Una volta definiti così i presupposti per l’inserimento di un sub-responsabile del trattamento, questi per poter svolgere le operazioni di trattamento deve essere vincolato a seguire le istruzioni documentate del titolare e mantenere le garanzie contrattualmente già assunte dal responsabile nei confronti del titolare. Ciò comporta di conseguenza che il responsabile e il sub-responsabile devono regolare i propri rapporti attraverso un accordo conforme all’art. 28 par. 4 GDPR.
Tale rapporto contrattuale deve essere sottoposto all’attività di controllo da parte del titolare, il quale è chiamato a comprovare il rispetto da parte del proprio responsabile dell’art. 28 GDPR. Il limite del campo di applicazione dell’audit, ovviamente, sarà l’attività delegata e gli eventuali elementi che possono incombere sui rischi della stessa.
Il sub-responsabile del trattamento e la gestione del rischio
Ricorrere ad un sub-responsabile del trattamento comporta un impatto sul rischio tanto di compliance quanto di sicurezza. Di conseguenza tale evenienza costituisce un fattore da dover considerare per procedere ad un’attività di riesame del rischio e l’eventuale predisposizione o programmazione di eventuali nuove misure di mitigazione da parte del titolare. Dal momento che infatti questi è informato ed aggiornato puntualmente circa l’aggiunta o la sostituzione di sub-responsabili, deve contestualmente acquisire tutte le informazioni rilevanti per poter essere in grado di valutare i rischi e, se del caso, adottare di conseguenza delle decisioni.
Decisioni che per un’adeguata rendicontazione dovranno essere sostenute da evidenze, nonché il riferimento alle buone prassi specifiche (come ad es. quelle relative alla sicurezza informatica pubblicate da ENISA)
