Il Comitato europeo per la protezione dei dati (EDPB) ha adottato il Parere 22/2024, richiesto dall’Autorità garante danese, che mira a fornire una guida armonizzata riguardo all’interpretazione delle disposizioni dell’articolo 28 del GDPR, con particolare focus sulle responsabilità dei titolari del trattamento nella scelta, gestione e supervisione dei responsabili e sub-responsabili del trattamento dei dati personali.
Il Parere sottolinea l’importanza di adottare un approccio proattivo e continuo nella verifica delle garanzie fornite dai responsabili e nella gestione dei contratti con i sub-responsabili. Inoltre, pone un’enfasi particolare sulla necessità di mantenere un elevato livello di protezione dei dati anche durante i trasferimenti internazionali, richiedendo al titolare di esercitare un controllo costante lungo tutta la catena di trattamento.
Identificazione degli attori nella catena di trattamento
Un aspetto centrale del Parere riguarda l’obbligo per i titolari del trattamento di identificare chiaramente tutti i soggetti coinvolti nella catena di trattamento dei dati personali, assicurandosi che le loro informazioni siano accessibili e aggiornate in ogni momento.
Ciò permette ai titolari di avere un controllo diretto sul flusso di dati personali che sono trattati per suo conto e di garantire che ogni passaggio nella catena sia conforme alle norme GDPR, in virtù del principio dell’accountability. Questa trasparenza è particolarmente importante per adempiere correttamente agli obblighi di trasparenza nei confronti degli interessati imposti dall’articolo 13 del GDPR e rispondere tempestivamente alle loro richieste di esercizio dei diritti, nonché in caso di data breach.
Il ruolo del titolare non è semplicemente quello di “supervisore” della catena ma anche di garante del fatto che ogni soggetto coinvolto nella catena di trattamento offra le medesime garanzie minime di protezione.
Verifica delle garanzie fornite dai responsabili
L’EDPB enfatizza anche l’importanza di verificare l’effettiva adozione delle misure da parte di responsabili e sub-responsabili lungo la catena di trattamento. L’articolo 28(1) del GDPR stabilisce, infatti, che il titolare può affidare il trattamento dei dati solo a responsabili che offrano “garanzie sufficienti” riguardo l’implementazione di misure tecniche e organizzative appropriate. Tuttavia, l’EDPB specifica che questo obbligo non si ferma alla mera richiesta di garanzie contrattuali o alla raccolta di dichiarazioni di conformità, ma impone una verifica attiva da parte del titolare richiedendo informazioni dettagliate e documentazione aggiuntiva da parte del responsabile.
In base al grado di rischio connesso con le attività di trattamento, quindi, potrà essere necessario effettuare verifiche supplementari, come audit o ispezioni, per accertarsi che le garanzie fornite siano effettivamente rispettate e le misure adottate.
Un elemento essenziale che emerge dal Parere è poi il concetto di continuità. L’obbligo di verificare le garanzie dei responsabili non è una procedura unica, ma un impegno continuo che impone la verifica periodica per valutare che le misure adottate rimangano adeguate nel tempo e aggiornate in base ai cambiamenti normativi e tecnologici.
Contratti con i sub-responsabili
Affinché il titolare sia messo in condizione di rispettare tali obblighi, risulta necessario regolare i rapporti con il responsabile principale mediante una efficace base contrattuale.
L’articolo 28(4) del GDPR stabilisce, infatti, che i responsabili che coinvolgono sub-responsabili devono trasferire gli stessi obblighi di protezione dei dati previsti nel contratto tra il titolare e il responsabile principale. Questo significa che ogni sub-responsabile deve essere vincolato contrattualmente agli stessi requisiti di protezione dei dati, assicurando che il livello di sicurezza lungo tutta la catena di trattamento rimanga costante.
Il titolare, secondo l’EDPB, non ha l’obbligo di verificare sistematicamente ogni contratto tra il responsabile e il sub-responsabile. Tuttavia, deve essere in grado di dimostrare, qualora necessario, che tali contratti riflettano effettivamente le misure stabilite nel contratto con il responsabile principale.
Trasferimenti internazionali
Infine, l’EDPB approfondisce uno degli aspetti più complessi della gestione dei dati personali, ossia il trasferimento di dati personali al di fuori dello Spazio Economico Europeo (SEE). Anche quando il trasferimento avviene tramite un responsabile o sub-responsabile, chiarisce l’EDPB, il titolare rimane responsabile del rispetto delle condizioni previste articolo 44 del GDPR, quali la sussistenza di una decisione di adeguatezza della Commissione Europea, o attraverso altre misure, come le clausole contrattuali standard (SCC) o le norme vincolanti d’impresa (Binding Corporate Rules – BCR) per i trasferimenti infragruppo
Questo significa che il titolare deve assicurarsi che il responsabile fornisca tutte le garanzie necessarie per assicurare che il livello di protezione previsto dal GDPR non venga compromesso dal trasferimento. Il titolare deve, quindi, documentare e verificare attentamente le misure adottate dal responsabile nell’ambito del trasferimento dei dati a un sub-responsabile stabilito al di fuori dello Spazio Economico Europeo (SEE).
Il testo completo del Parere 22/2024 dell’EDP è disponibile a questo link