Manlio Cammarata - GDPR, articolo 28: chi è "responsabile" e chi non lo è?

Cookie free: nessun "biscotto" per spiare i lettori

Home Informazioni Contatti

Cerca in InterLex con Google

Gratis, per essere sempre aggiornato

sulle novità di InterLex

Privacy e sicurezza

Identità digitale

Le regole dell'internet

Diritto d'autore

Informazione e comunicazione

Amministrazione digitale

Reti e telecomunicazioni

Varie ed eventuali

Fonti normative e documenti

Numeri precedenti

Sezioni non più attive

Indice storico-sistematico 1995-2011

GDPR, articolo 28: chi è "responsabile" e chi non lo è

Privacy e sicurezza - Manlio Cammarata - 3 ottobre 2018

Si continua a discutere della qualifica di "responsabile del trattamento" attribuita a chi è incaricato di servizi di natura puramente tecnica. Cerchiamo di fare chiarezza, perché le conseguenze di una scelta sbagliata possono essere serie.

L'articolo dell'11 giugno scorso Attenzione: il tecnico non è "responsabile del trattamento" ha suscitato diverse perplessità e arrivano ancora critiche e richieste di chiarimenti. In sostanza, nell'articolo sostenevo che la diffusa tendenza a nominare "responsabile del trattamento" la struttura esterna, o il singolo tecnico, incaricato della manutenzione dei sistemi informativi che contengono dati personali è, in molti casi, un errore.
Ripartiamo dalla lettura dell'art. 28, paragrafo 1, del GDPR:

Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato.

Il principio è chiaro: il responsabile del trattamento effettua un trattamento di dati personali per conto del titolare. In sostanza il titolare dice a un soggetto esterno all'azienda: «Tu devi trattare dati personali per mio conto». Cioè, devi fare quello che dovrei fare io, ma mi conviene farlo fare a te.

Per completare il quadro normativo, aggiungiamo la nozione di "trattamento" come è definita dall'art. 4:

«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.

Ora vediamo un esempio al quale applicare queste disposizioni.
Un'azienda che tratta dati personali (di fatto non c'è azienda che non li tratti), rileva che è necessario sostituire un disco rigido sul quale siano archiviati dati personali, per un motivo qualsiasi. Chiama la società alla quale è affidata la manutenzione dei sistemi, che invia un tecnico. Questi prima di tutto copia il contenuto del vecchio disco sul nuovo, poi effettua la sostituzione, infine cancella il contenuto del vecchio disco.

Ha compiuto qualche operazione che rientra nelle definizioni dell'art. 4? No. Ha semplicemente copiato una sequenza di bit. Ma poi, potrebbe osservare qualcuno, ha cancellato il vecchio disco. Ebbene, ha cancellato i bit, non i dati, che ha prima copiato sul disco nuovo. Nessun "dato" è stato cancellato. Il tecnico non ha effettuato alcun trattamento di dati personali.

Dov'è il problema? Potrebbe darsi il caso che il tecnico abbia casualmente "visto" dei dati personali. Ma questa è una responsabilità del titolare, che deve avere adottato misure adeguate a impedire che qualcuno non abilitato al trattamento possa accedere ai dati stessi. In pratica il tecnico non dovrebbe "poter vedere" i dati, come impostazione di sicurezza predefinita.

Un altro esempio comune è quello di dati conservati su un sistema in housing presso un fornitore esterno. Questi mette a disposizione del titolare una o più macchine sulle quali il titolare tratta i dati da remoto. Il fornitore di housing deve essere nominato responsabile del trattamento? La domanda potrebbe essere legittima considerando che i dati sono "conservati" fisicamente in casa del fornitore e che la "conservazione" è un trattamento.

Allora chiediamoci chi è che "conserva" i dati, nel senso definito dall'art. 4. La risposta è facile: è il titolare, che li conserva su una macchina esterna invece che "in casa". È lui che "tratta" i dati, mentre nella macchina situata presso il fornitore sono semplicemente registrati dei bit. Anche qui c'è la responsabilità del titolare nel pretendere e verificare che nessun dipendente del fornitore di housing abbia accesso ai dati, per non parlare della protezione contro intrusioni dall'esterno.

Lo stesso discorso vale per l'archiviazione dei dati in un cloud. Ma qui si aggiungono altri problemi che dovremo trattare a parte. Per esempio, la necessaria verifica delle effettive misure di sicurezza adottate dal fornitore potrebbe essere ardua, se non impossibile.

Una situazione diversa potrebbe verificarsi nel caso di un servizio di hosting, invece che di housing. Come dovrebbero sapere tutti coloro che si occupano di queste materie, la differenza tra le due figure contrattuali è che nell'housing il fornitore mette semplicemente a disposizione uno spazio di archiviazione, mentre nell' hosting compie anche una serie di operazioni per il funzionamento del sistema, operazioni che potrebbero comprendere qualche forma di trattamento di dati personali.

Quali conseguenze possono derivare dalla nomina impropria di un fornitore o di un manutentore a responsabile del trattamento? La prima è che il titolare deve accertarsi che il nominato presenti "garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato", come recita l'articolo 28. Se non lo fa, o poi non controlla che le misure siano costantemente "adeguate", può incorrere in una forma di trattamento illecito.

Dal canto suo, il nominato (qualche volta suo malgrado) responsabile deve rispettare tutte le disposizioni elencate nei paragrafi da 3 a 10 dell'articolo 28 e, in generale, tutte le norme del GDPR sul trattamento dei dati. Con il rischio di incorrere in trattamenti illeciti, e conseguenti sanzioni, se la sua struttura non è adeguata.

Ci sono però altre situazioni in cui il fornitore o manutentore, in particolare i fornitori di hardware o software, devono compiere operazioni di trattamento sui dati del cliente-titolare. Un esempio può essere quello di un fornitore di sistemi di localizzazione satellitare, che raccoglie i dati inviati dai veicoli di una flotta aziendale e li trasmette al titolare. In un caso come questo la nomina a responsabile del trattamento è corretta, anzi necessaria.
Ma comporta una serie di altri problemi dei quali parlerò in un prossimo articolo.

Per intervenire su questo argomento clicca qui

Inizio pagina

Indice di questa sezione

Home

Arma di sorveglianza di massa che limita la nostra libertà. Possiamo difenderci?

Un piccolo libro per capire come le tecnologie "smart" invadono la nostra vita privata e influenzano le nostre scelte.

Per saperne di più

Leggi le prime pagine

Le recensioni

Stampato o ebook

Acquistalo su Amazon

Storie italiane di spionaggio

Il colonnello Rey su Facebook

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000