Il Movimento 5S e l’Associazione Rousseau risultano essere, rispettivamente, titolare e responsabile del trattamento dei dati degli iscritti al Movimento. Il Garante per la protezione dei dati personali ha ordinato all’Associazione Rousseau di consegnare al Movimento 5 Stelle tutti i dati personali degli iscritti.

Il Movimento 5 Stelle aveva presentato reclamo al Garante che ha avviato una istruttoria d’urgenza. In base alla documentazione acquisita, il Movimento 5S e l’Associazione Rousseau risultano essere, rispettivamente, Titolare e Responsabile del trattamento dei dati degli iscritti al Movimento.

In base alla normativa sulla privacy - continua il Garante -, il responsabile, “su scelta del titolare del trattamento dei dati, è tenuto a cancellare o restituire tutti i dati personali, dopo che è terminata la prestazione dei servizi richiesti relativi al trattamento”.

Questa disposizione, precisa il Garante, deve essere applicata in tutti i casi che regolano il rapporto titolare-responsabile.

Il Movimento quindi, in quanto titolare del trattamento, ha diritto, sottolinea il Garante, di disporre dei dati degli iscritti e di poterli utilizzare per i suoi fini istituzionali. L’Associazione Rousseau dovrà quindi consegnare Movimento5S, entro 5 giorni, i dati degli iscritti di cui l’Associazione risulti responsabile. Potrà invece continuare ad utilizzare i dati di quegli iscritti rispetto ai quali sia anche titolare del trattamento.

Lasciando da parte tutte le considerazioni di parte e di carattere politico, quello che ci interessa rilevare e sottolineare è il fatto che, ancora una volta, il Garante della privacy fa chiarezza sui rapporti che intercorrono tra Titolare e Responsabile del trattamento.

Allora una guida sintetica, un breve approfondimento può essere utile per capire meglio o chiarire quali sono le responsabilità di titolare e responsabile e come vanno regolati i loro rapporti.

Tale aspetto risulta ancor più rilevante se si pensa che l’autorità Garante, in tutte le ispezioni che sta facendo, sta chiedendo ai titolari del trattamento chi sono i responsabili esterni, come sono stati identificati e come sono stati verificati.

Le modalità di scelta e di nomina del responsabile sono quindi questioni estremamente importanti sia per obbligo di legge, sia perché il Garante, nelle ispezioni, dedica grande attenzione a questo aspetto.

Prima cosa importante: senza una nomina scritta non c’è responsabile esterno. Tra il titolare ed il responsabile ci deve essere un contratto (un atto quindi che vincola entrambi) o un atto di nomina. Se manca una di queste due cose non puoi avvalerti di un responsabile esterno e sei sanzionabile.

Cosa deve contenere l’accordo?

Quali dati vengono trattati, per quali finalità, eventualmente per quali categorie di interessati e quali sono gli obblighi e i diritti sia del titolare del trattamento che del responsabile.

Il responsabile esterno inoltre, deve dare delle garanzie; anche in questo caso, senza garanzie, non puoi utilizzarlo. All’articolo 28, punto 3, il GDPR dice che quando qualcuno tratta dei dati personali per conto di un titolare, è un responsabile esterno; il titolare può avvalersene solo se presenta garanzie sufficienti: senza garanzie, non può essere utilizzato.

Le garanzie richieste dal GDPR

Sono 8, elencati nel testo del Regolamento e che devono essere presenti nel contratto o nell’atto di nomina.

1 – Il responsabile esterno deve trattare i dati personali solo su istruzione documentata dal titolare, anche se vengono trasferiti all’estero o verso organizzazioni internazionali, a meno che non lo richieda il diritto dell'Unione o il diritto nazionale cui è soggetto il responsabile del trattamento.

2 – Il responsabile esterno deve garantire che le persone autorizzate al trattamento – gli addetti - si sono impegnate alla riservatezza anche come obbligo legale.

3 – Il responsabile esterno dichiara di aver adottato le misure tecniche e organizzative per garantire un livello di sicurezza adeguato rispetto ai rischi che corrono i dati e che derivano da distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o trattati.

4 – Il responsabile esterno dichiara di rispettare le condizioni della responsibility chain, cioè della catena dei responsabili, che deve essere chiara. Vuol dire che se il responsabile ingaggia altri sub-responsabili, nell’atto di nomina o nel contratto deve esserci scritto: “Io, responsabile esterno, posso aggiungere ulteriori responsabili e ti dico anche come li aggiungo e come ti comunico questa aggiunta.”

5 – Nel documento deve essere chiaro cosa succede se un interessato esercita i suoi diritti e chiede come vengono trattati i suoi dati. Quindi, per esempio, se Peppino chiede di accedere ai suoi dati personali, nel contratto o nella nomina a responsabile esterno deve esserci scritto: chi risponde, come risponde, in che tempi risponde e in che modo.

6 - Il responsabile esterno ha l’obbligo di assistere il titolare in caso di violazioni sul trattamento e quindi di mettersi a disposizione per fornire informazioni che permettano al titolare di verificare l’adeguatezza dei suoi trattamenti. Inoltre, il responsabile deve avere delle regole scritte che gli spiegano come si deve comportare nel caso in cui ci sia una violazione.

7 – È fondamentale e obbligatorio che nel contratto o nella nomina ci siano indicate le modalità di cancellazione e le modalità di restituzione delle informazioni date al responsabile esterno.

8 - Il responsabile mette a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi.

Verifica periodica del responsabile esterno

E’ compito del titolare controllare i suoi responsabili.

Una volta nominato, per iscritto, un Responsabile e dopo aver fatto tutte le verifiche, non è finita! Il responsabile esterno va controllato e verificato periodicamente nel tempo, per vedere se è ancora adeguato oppure no.

Non c’è una prescrizione che indichi ogni quanto vanno fatti i controlli e le verifiche: l’importante è che vengano fatte e che siano documentate.

Conclusioni

Ricapitolando, le cose importanti da sapere e da fare nella gestione dei responsabili esterni sono le seguenti:

1. Identificare e scegliere il responsabile esterno con un contratto o attraverso una nomina. Non possono esserci responsabili senza nomina o contratto.
2. Nella nomina devono essere indicati tutti gli 8 punti visti in precedenza.
3. Nel contratto o nomina vanno indicati nel dettaglio quali dati vengono “passati” dal titolare al responsabile, perché glieli passi e quali sono le finalità. Inoltre, nel contratto o nella nomina ci devono essere le clausole di riservatezza, sempre.
4. Nel contratto o nella nomina ci deve essere scritto che il responsabile adotta le misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio sui dati. Il titolare verifica periodicamente il rispetto e l’adeguatezza di tali misure.
5. Nel contratto o nella nomina ci devono essere le istruzioni su come si deve comportare il responsabile esterno al trattamento a fronte di una richiesta dell’interessato sui suoi diritti.
6. Nel contratto ci devono essere le regole per la gestione del Data Breach e le regole per eventuali assistenze che il responsabile ti deve dare in caso di violazione dei dati.