Cookie free: nessun "biscotto" per spiare i lettori

La scelta del responsabile del trattamento: il "comma 22"

Privacy e sicurezza - Manlio Cammarata - 12 ottobre 2018

Nei due articoli precedenti ho cercato di mettere a fuoco i casi, molto frequenti, di inutile designazione come responsabile del trattamento di soggetti che, di fatto, non compiono alcun trattamento di dati personali (Attenzione: il tecnico non è "responsabile del trattamento" dell'11 giugno e GDPR, articolo 28: chi è "responsabile" e chi non lo è del 3 ottobre).

Qui affronto la situazione opposta: come regolarsi quando l'azienda o la persona che ha compiti tecnici si trova a trattare anche dati personali. E affronto anche una questione molto delicata, che si può verificare quando il "tecnico" compie necessariamente qualche trattamento, ma non ha i requisiti per essere designato come responsabile e non è possibile ricorrere a un altro soggetto.

Una situazione che si verifica con molto frequenza è quella del fornitore che ha libero accesso alle macchine del cliente – il titolare del trattamento – per la regolare manutenzione del software o dell'hardware. Come abbiamo visto, è un'attività che non comporta necessariamente il trattamento di dati personali, anche se il manutentore li può "vedere" (ma con l'obbligo del segreto, che deve essere una clausola del contratto di manutenzione e, se del caso, anche di quello di fornitura).

Si possono verificare due casi particolari: il primo è quando i computer sono nella sede del fornitore/manutentore, il secondo quando questo, dovunque siano poste le macchine, è autorizzato a controllare ed eventualmente correggere dati che non siano formattati correttamente o che per altri motivi possano causare malfunzionamenti delle procedure.
E' chiaro che in questi due casi il fornitore/manutentore deve essere designato quale responsabile del trattamento, ai sensi dell'art. 28 del GDPR.

Nel primo caso abbiamo "la conservazione" dei dati, nel secondo "l'adattamento o la modifica", che sono specifiche operazioni comprese nella definizione di "trattamento" del primo paragrafo dell'art. 4.

Dunque in questi casi la designazione come "responsabile del trattamento" si impone. E comporta (come qualcuno dimentica nelle nomine "a pioggia") una precisa serie di responsabilità del titolare, fra le quali la dettagliata indicazione delle modalità e dei limiti del trattamento e la verifica del puntuale rispetto delle istruzioni.
Dal canto suo, il responsabile deve rispettare tutte le prescrizioni del GDPR e, se del caso, della normativa nazionale, poiché può incorrere nelle stesse sanzioni previste a carico del titolare in caso di trattamento non conforme o di mancata adozione di "adeguate" misure di sicurezza.

Tutto questo giustifica la prima prescrizione che l'art. 28 pone a carico del titolare. Il quale "ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato". Dunque deve scegliere il responsabile con cognizione di causa.

Ma si può presentare un problema di difficile soluzione. Ci sono molti casi in cui il titolare non può scegliere il responsabile, perché la manutenzione del sistema da parte del fornitore è parte essenziale del contratto di fornitura. E cambiare il fornitore di un sistema complesso, quasi sempre con componenti "proprietari", significa cambiare prodotti e procedure, formare il personale, superare un periodo di prove e adattamenti... Impensabile.

Se il fornitore/manutentore presenta "garanzie sufficienti", non ci sono problemi. Ma se si ha ha che fare con "tecnici puri", anche bravissimi nel loro campo, ma più o meno insofferenti verso i cavilli della legge, il titolare può incontrare non poche difficoltà per ottenere le "misure tecniche e organizzative adeguate" previste dalla norma (oltre che dal buonsenso).

E' una specie di "comma 22" (Chi è pazzo può chiedere di essere esentato dalle missioni di volo, ma chi chiede di essere esentato dalle missioni di volo non è pazzo), applicato al trattamento dei dati personali. Il titolare deve scegliere un responsabile che presenti "garanzie adeguate", ma se il designato non le presenta, il titolare non può scegliere un altro responsabile.

Il problema va affrontato caso per caso e la soluzione può essere difficile. Ma nessun titolare può affidare il trattamento dei dati a un soggetto esterno che non sia del tutto affidabile.

Resta ancora da considerare un tipo di trattamento che impone valutazioni non molto diverse da quelle viste fin qui: la conservazione dei dati in un servizio di cloud. Sarà uno dei temi di un prossimo articolo.