Il Parere 22/2024 del Comitato Europeo per la protezione dei dati personali sugli obblighi derivanti dall’affidamento del trattamento a responsabili e sub-responsabili

Identificazione degli attori nella catena del trattamento dei dati personali

Rispetto al primo quesito, se il titolare del trattamento debba identificare tutti i sub-responsabili della catena del trattamento, oppure solo la prima linea dei sub-responsabili del proprio responsabile, il Comitato chiarisce in primo luogo che, anche se la catena del trattamento potrebbe essere lunga, il Titolare mantiene il suo ruolo di determinare le finalità e i mezzi essenziali del trattamento, e che la scelta del responsabile rientra appunto nella determinazione dei mezzi essenziali. Viene ricordato che, nel caso in cui il responsabile voglia identificare ulteriori sub-responsabili, sarà necessaria l’autorizzazione specifica o generale del Titolare e che, per l’autorizzazione specifica, il Titolare dovrà indicare quale responsabile è autorizzato e per quale particolare attività di trattamento. È precisato che, qualora non vi sia risposta alla richiesta del responsabile per la designazione di sub-responsabili, la stessa deve considerarsi rigettata.

Nel caso di autorizzazione generale, invece, spetta al responsabile, proattivamente, segnalare al Titolare ogni modifica o aggiornamento della catena dei sub-responsabili, al fine di consentire al Titolare di opporsi. È quindi necessario che tutte le informazioni sui sub-responsabili del responsabile siano sempre agevolmente accessibili dal Titolare, e siano mantenute aggiornate dal responsabile, al fine di consentire al Titolare di mantenere il controllo sulle attività di trattamento, rispondere alle richieste di accesso e gestire efficacemente eventuali data breaches. Nel contratto, Titolare e responsabile potrebbero anche accordarsi per comunicare le informazioni di cui sopra in un format particolare, che potrebbe essere necessario al Titolare per meglio organizzare e archiviare le comunicazioni.

Verifica da parte del titolare sull’adeguatezza delle garanzie fornite da tutti i responsabili nella catena di trattamento

Con riferimento ai controlli da parte del Titolare sull’adeguatezza dei responsabili, il Comitato chiarisce che, in base al principio di responsabilizzazione di cui all’articolo 24 GDPR, in combinato disposto con gli obblighi che gravano sul titolare ai sensi dell’articolo 28 GDPR, l’affidamento ad un responsabile non dovrebbe abbassare il livello di protezione dei diritti e le libertà degli interessati rispetto al caso in cui il trattamento sia effettuato direttamente dal Titolare, e ciò non si riferisce unicamente al primo responsabile, ma a tutti i responsabili della catena, inclusi i sub-responsabili ed i sub-sub-responsabili. Il Titolare, anche nel caso di catene del trattamento lunghe e complesse, dovrebbe garantire che siano stati selezionati solo responsabili che offrono garanzie adeguate, e dovrebbe svolgere attività di due diligence e di supervisione sugli stessi. Queste attività implicheranno uno scambio di documentazione con il responsabile, che dipenderà dalle circostanze del caso, dal tipo di attività delegata e da altri elementi: né il GDPR né altre linee guida del Comitato contengono, infatti, una lista esaustiva dei documenti da presentare o delle azioni da svolgersi da parte del responsabile, e il Titolare potrebbe decidere di far compilare specifiche check-list oppure affidarsi a informazioni pubbliche oppure richiedere certificazioni o audit di terza parte. Quanto al livello di rischio, è chiarito che lo stesso non può giustificare un mancato adempimento degli obblighi da parte del Titolare: ove il rischio sia basso, le misure tecniche e organizzative da implementare saranno diverse, ma dovranno pur sempre essere previste. Quindi, il Comitato ritiene che l'obbligo del Titolare del trattamento di verificare se i (sub)responsabili del trattamento presentano garanzie sufficienti per attuare le misure stabilite dovrebbe applicarsi indipendentemente dal rischio per i diritti e le libertà degli interessati. Tuttavia, l'entità di tale verifica varierà in pratica a seconda della natura di queste misure organizzative e tecniche determinate dal Titolare del trattamento in base, tra l'altro, a diversi criteri, tra cui il rischio associato al trattamento. Ad esempio, nel caso di trattamento ad alto rischio, il Titolare potrebbe alzare il livello dei controlli verificando direttamente i contratti con i sub-responsabili, o imponendo al responsabile obblighi più estesi di controllo e di documentabilità. In questo senso, il responsabile ha l’obbligo di fornire proattivamente al Titolare tutte le informazioni rilevanti sul trattamento dei dati personali per suo conto, e di trasmettere tali obbligazioni anche ai sub-responsabili (a volte è lo stesso contratto con il responsabile che prevede modi e tempi di tali flussi informativi).

Interessante un passaggio del parere in cui si precisa che, se anche è responsabilità ultima del responsabile scegliere i sub responsabili e assicurarsi che agli stessi siano imposte le stesse obbligazioni del contratto principale, comunque non viene meno la responsabilità del Titolare di garantire l’adempimento delle obbligazioni di cui agli articoli 24 e 28 GDPR. La decisione finale sull’incarico ad uno specifico sub- responsabile e la relativa responsabilità, anche per quanto riguarda la verifica dell'adeguatezza delle garanzie fornite dal sub-responsabile del trattamento, spetta infatti al Titolare del trattamento. Infatti, in caso di autorizzazione generica o specifica, spetta sempre al Titolare del trattamento decidere se approvare la nomina di questo sub-responsabile o se opporsi. In tale valutazione, il Titolare può scegliere di fare affidamento sulle informazioni ricevute dal suo responsabile del trattamento e, nel caso in cui le informazioni appaiano incomplete, imprecise o sollevino dubbi, o se opportuno in base alle circostanze del caso, compreso il rischio associato al trattamento, può chiedere ulteriori informazioni e/o verificare le informazioni e, se necessario, completarle/correggerle.

Più specificamente, per i trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, il Titolare del trattamento dovrebbe aumentare il suo livello di controllo quanto a verifica delle informazioni fornite dai diversi responsabili del trattamento nella catena di trattamento.

Verifica dei contratti stipulati tra il responsabile ed il successivo sub-responsabile

In base all’articolo 28 paragrafo 4 GDPR, il responsabile è legalmente e contrattualmente tenuto a trasmettere le obbligazioni in materia di protezione dei dati personali nei contratti con i successivi sub-responsabili, e così via lungo la catena di trattamento (anche se non è richiesto che i contratti siano identici quanto al wording). Viene ricordato che, nel caso in cui un sub-responsabile ometta di adempiere alle proprie obbligazioni, la responsabilità ultima risiede in capo al Titolare che, tuttavia, può agire in rivalsa contro il responsabile per non aver trasmesso le obbligazioni correttamente ai sub-responsabili. Quanto alla possibilità di verificare i contratti, poiché in base all’articolo 28 GDPR il responsabile deve fornire al Titolare tutte le informazioni utili che gli consentano di adempiere agli obblighi del GDPR, è chiarito che, qualora il Titolare ne faccia richiesta, il responsabile è obbligato a fornire copia dei contratti stipulati con i successivi sub-responsabili (come peraltro previsto anche dalle Standard Contractual Clauses della Commissione Europea). Dall’altro lato, il Titolare non ha un dovere di chiedere tali copie per verificare se le obbligazioni siano state ben trasmesse lungo la catena di trattamento, ma avrà discrezionalità nel valutarlo caso per caso in base alle circostanze del trattamento (ad esempio, potrebbe richiederlo in caso di ispezione dell’autorità, di data breach del responsabile, di dubbi sul livello di compliance di responsabile e sub-responsabili). Nell’ambito degli audit da condurre ai sensi dell’articolo 28, paragrafo 3, lettera h) tale aspetto dovrebbe essere verificato a campione. Il Comitato evidenzia come tale richiesta sia in grado di facilitare per il Titolare la dimostrazione di aver verificato la sussistenza delle garanzie adeguate.

Trasferimenti verso paesi terzi nella catena di trattamento

Il quesito affrontato dal Comitato riguarda i trasferimenti di dati effettuati non dal Titolare come “data exporter” ma dal responsabile, lungo la catena di trattamento, verso altri sub-responsabili e secondo le istruzioni date dal Titolare (che devono essere trasferite lungo la suddetta catena). In tal senso, il Comitato è chiaro nell’affermare che, anche se il trasferimento non è effettuato dal Titolare bensì da un responsabile (per conto del Titolare), il Titolare rimane comunque soggetto all’applicazione del capo V del GDPR, ed in particolare agli obblighi di cui agli articoli 28 e 44 GDPR. Titolare e responsabile sono entrambi tenuti a garantire che la protezione dei dati personali non sia compromessa dal trasferimento, indipendentemente dalla condizione che giustifica lo stesso, e potrebbero essere ritenuti responsabili in caso di violazione. Il Titolare, inoltre, dovrà tener conto di tale trasferimento come fattore di rischio nel determinare le misure tecniche e organizzative e nel fornire istruzioni al responsabile. Il Titolare è infatti il responsabile ultimo della conformità all’articolo 28 GDPR e il Comitato chiarisce che non ne è esonerato per le difficoltà pratiche che potrebbe dover affrontare nell’effettuare i controlli sulla catena dei sub-responsabili. Quanto al tipo di documentazione che il Titolare può esaminare al responsabile per effettuare tali controlli, si suggerisce di richiedere al responsabile, prima che il trasferimento abbia luogo:

1. “mappa del trasferimento”, con indicazione di quali dati sono trasferiti (incluso eventuale accesso da remoto), dove, e per quali finalità;
2. condizioni per il trasferimento e, ove applicabile, “trasfer impact assessment” e misure supplementari: in tal caso, il controllo dipenderà dalla situazione e sarà meno stringente qualora trasferimento sia effettuato sulla base di una decisione di adeguatezza, e più pregante qualora sia effettuato sulla base di altri presupposti previsti dall’articolo 46 GDPR.

In conclusione

Nel parere analizzato il Comitato fornisce importanti chiarimenti relativamente ai controlli e alle responsabilità del Titolare nel caso di affidamento del trattamento di dati personali a responsabili che a loro volta si affidano a sub-responsabili. In particolare, si specifica che, per quanto il responsabile del trattamento iniziale dovrebbe assicurarsi di proporre sub-responsabili che forniscano garanzie sufficienti, la decisione finale di ingaggiare o meno uno specifico sub-responsabile e la relativa responsabilità, anche per quanto riguarda la verifica delle garanzie, rimane in capo al Titolare del trattamento, che deve essere in grado di dimostrare di aver effettuato la verifica dell'adeguatezza delle garanzie fornite dai suoi sub-responsabili.

Nel caso di trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, il Titolare del trattamento dovrebbe aumentare il suo livello di controllo sulle informazioni fornite. A tal proposito, è chiarito che ai sensi del GDPR il Titolare del trattamento non ha l'obbligo di richiedere sistematicamente i contratti del responsabile con i sub-responsabili, per verificare se gli obblighi di protezione dei dati previsti nel contratto iniziale siano stati trasferiti lungo la catena di trattamento, ma può valutare, caso per caso, se è necessario richiedere una copia di tali contratti per garantire il rispetto del principio di responsabilizzazione. Nel caso di trasferimenti di dati personali verso paesi terzi, tra due responsabili del trattamento, in conformità alle istruzioni del Titolare, quest’ultimo rimane comunque soggetto agli obblighi di cui all’articolo 28, paragrafo 1, GDPR sulle “garanzie sufficienti”, e di cui all’articolo 44 GDPR per assicurare che il livello di protezione non sia compromesso dai trasferimenti di dati personali. Dall’altro lato, il responsabile del trattamento (esportatore) dovrebbe preparare e fornire al Titolare (che a sua volta potrebbe doverla fornire all’autorità) la documentazione pertinente, in conformità alle Raccomandazioni 01/2020 dello stesso Comitato. La portata dell’obbligo di verifica potrà variare in base al presupposto del trasferimento e al fatto che il trasferimento sia iniziale o successivo.