TUTELA DEI DATI PERSONALI
Comitato europeo per la protezione dei dati personali: adottato un parere sull’articolo 28 del GDPR e su taluni obblighi derivanti dalla designazione del Responsabile esterno del trattamento (e dei sub-responsabili).
L'articolo 64, paragrafo 2, del GDPR prevede che qualsiasi autorità di protezione dei dati possa chiedere al Comitato di emettere un parere su questioni di applicazione generale o che producono effetti in più di uno Stato membro. A seguito di una richiesta ai sensi dell'articolo 64, paragrafo 2, del GDPR al Comitato europeo per la protezione dei dati personali da parte dell'Autorità danese per la protezione dei dati (DPA), il Comitato (EDPB) ha rilasciato un parere che riguarda le situazioni in cui i titolari del trattamento si affidano a uno o più responsabili del trattamento e sub-responsabili del trattamento.
In particolare, il parere affronta otto questioni relative all'interpretazione di taluni obblighi dei titolari del trattamento che si avvalgono di responsabili del trattamento e sub-responsabili del trattamento, nonché fornisce chiarimenti in merito alla formulazione dei contratti tra titolare del trattamento e responsabile del trattamento, ai sensi dall'articolo 28 del RGPD.
Il parere spiega che i titolari del trattamento dovrebbero avere a disposizione in qualsiasi momento le informazioni sull'identità (ad esempio nome, indirizzo, persona di contatto) di tutti i responsabili del trattamento, sub-responsabili ecc., in modo che possano adempiere al meglio ai loro obblighi ai sensi dell'articolo 28 del GDPR. Inoltre, l'obbligo del titolare del trattamento di verificare se i (sub)responsabili del trattamento presentino «garanzie sufficienti» dovrebbe applicarsi indipendentemente dal rischio per i diritti e le libertà degli interessati, sebbene la portata di tale verifica possa variare, in particolare sulla base dei rischi associati al trattamento.
Il parere afferma inoltre che, sebbene il responsabile del trattamento iniziale debba assicurarsi di proporre sub-responsabili del trattamento con sufficienti garanzie, la decisione finale e la responsabilità di incaricare uno specifico sub-responsabile del trattamento spettano al titolare del trattamento.
L'EDPB ritiene che, ai sensi del GDPR, il titolare del trattamento non abbia l'obbligo di richiedere sistematicamente i contratti di sub-trattamento per verificare se gli obblighi di protezione dei dati sono stati trasmessi lungo la catena di trattamento. Il titolare del trattamento dovrebbe valutare se la richiesta di una copia di tali contratti o la loro revisione sia necessaria per poter dimostrare la conformità al regolamento generale sulla protezione dei dati.
Inoltre, qualora i trasferimenti di dati personali al di fuori dello Spazio economico europeo avvengano tra due (sub)responsabili del trattamento, il responsabile del trattamento in qualità di esportatore dei dati dovrebbe preparare la documentazione pertinente, ad esempio relativa al motivo del trasferimento utilizzato, alla valutazione d'impatto del trasferimento e alle eventuali misure supplementari. Tuttavia, poiché il titolare del trattamento è ancora soggetto agli obblighi derivanti dall'articolo 28, paragrafo 1, del GDPR sulle "garanzie sufficienti", oltre a quelli di cui all'articolo 44 per assicurare che il livello di protezione non sia compromesso dai trasferimenti di dati personali, dovrebbe valutare tale documentazione ed essere in grado di mostrarla all'Autorità per la protezione dei dati personali competente.
In particolare, il parere affronta otto questioni relative all'interpretazione di taluni obblighi dei titolari del trattamento che si avvalgono di responsabili del trattamento e sub-responsabili del trattamento, nonché fornisce chiarimenti in merito alla formulazione dei contratti tra titolare del trattamento e responsabile del trattamento, ai sensi dall'articolo 28 del RGPD.
Il parere spiega che i titolari del trattamento dovrebbero avere a disposizione in qualsiasi momento le informazioni sull'identità (ad esempio nome, indirizzo, persona di contatto) di tutti i responsabili del trattamento, sub-responsabili ecc., in modo che possano adempiere al meglio ai loro obblighi ai sensi dell'articolo 28 del GDPR. Inoltre, l'obbligo del titolare del trattamento di verificare se i (sub)responsabili del trattamento presentino «garanzie sufficienti» dovrebbe applicarsi indipendentemente dal rischio per i diritti e le libertà degli interessati, sebbene la portata di tale verifica possa variare, in particolare sulla base dei rischi associati al trattamento.
Il parere afferma inoltre che, sebbene il responsabile del trattamento iniziale debba assicurarsi di proporre sub-responsabili del trattamento con sufficienti garanzie, la decisione finale e la responsabilità di incaricare uno specifico sub-responsabile del trattamento spettano al titolare del trattamento.
L'EDPB ritiene che, ai sensi del GDPR, il titolare del trattamento non abbia l'obbligo di richiedere sistematicamente i contratti di sub-trattamento per verificare se gli obblighi di protezione dei dati sono stati trasmessi lungo la catena di trattamento. Il titolare del trattamento dovrebbe valutare se la richiesta di una copia di tali contratti o la loro revisione sia necessaria per poter dimostrare la conformità al regolamento generale sulla protezione dei dati.
Inoltre, qualora i trasferimenti di dati personali al di fuori dello Spazio economico europeo avvengano tra due (sub)responsabili del trattamento, il responsabile del trattamento in qualità di esportatore dei dati dovrebbe preparare la documentazione pertinente, ad esempio relativa al motivo del trasferimento utilizzato, alla valutazione d'impatto del trasferimento e alle eventuali misure supplementari. Tuttavia, poiché il titolare del trattamento è ancora soggetto agli obblighi derivanti dall'articolo 28, paragrafo 1, del GDPR sulle "garanzie sufficienti", oltre a quelli di cui all'articolo 44 per assicurare che il livello di protezione non sia compromesso dai trasferimenti di dati personali, dovrebbe valutare tale documentazione ed essere in grado di mostrarla all'Autorità per la protezione dei dati personali competente.