Il consulente informatico è un responsabile del trattamento dati?
A cura di Avv. Alessia Lipari e Dott.ssa Benedetta Crespi.
Nel contesto odierno, in cui il progresso tecnologico richiede un costante adattamento delle normative sulla protezione dei dati personali, la corretta qualificazione giuridica del fornitore esterno assume particolare rilevanza. Un quesito ricorrente riguarda la necessità di nominare come responsabile del trattamento ai sensi dell’art. 28 GDPR il fornitore esterno che si occupa esclusivamente della manutenzione dei devices aziendali.
Tale questione assume un certo rilievo poiché la nomina comporterebbe l'obbligo per il Titolare del trattamento di verificare che il soggetto incaricato sia in grado di offrire garanzie sufficienti per l'attuazione di misure tecniche e organizzative adeguate a soddisfare i requisiti del GDPR.
Le Linee Guida EDPB 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, in merito alla sussistenza o meno dell’obbligo di nomina del fornitore quale Responsabile ai sensi art. 28 GDPR, sottolineano la necessità di un'analisi caso per caso delle attività concretamente svolte dal fornitore esterno.
È fondamentale, infatti, osservare che, anche nel caso in cui un fornitore di servizi informatici svolga esclusivamente il ruolo di manutentore tecnico dei dispositivi elettronici, la mera presenza di dati personali su tali dispositivi potrebbe comunque comportare un potenziale accesso agli stessi da parte del fornitore.
Si ricorda difatti che anche l’eventuale accesso - seppur occasionale - a dati personali configura un’ipotesi di “consultazione”, attività indicata quale forma di trattamento ai sensi dell’art. 4 GDPR.
Non è poi necessario che il trattamento dei dati personali sia “l’oggetto principale o primario del servizio prestato”, infatti l’EDPB nelle sopra citate Linee Guida osserva che “un fornitore di servizi può comunque agire come responsabile del trattamento anche laddove il trattamento dei dati personali non sia l’oggetto principale o primario del servizio, a condizione che, nella pratica, il cliente del servizio continui a determinarne le finalità e i mezzi”.
Nel contesto odierno, in cui il progresso tecnologico richiede un costante adattamento delle normative sulla protezione dei dati personali, la corretta qualificazione giuridica del fornitore esterno assume particolare rilevanza. Un quesito ricorrente riguarda la necessità di nominare come responsabile del trattamento ai sensi dell’art. 28 GDPR il fornitore esterno che si occupa esclusivamente della manutenzione dei devices aziendali.
Tale questione assume un certo rilievo poiché la nomina comporterebbe l'obbligo per il Titolare del trattamento di verificare che il soggetto incaricato sia in grado di offrire garanzie sufficienti per l'attuazione di misure tecniche e organizzative adeguate a soddisfare i requisiti del GDPR.
Le Linee Guida EDPB 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, in merito alla sussistenza o meno dell’obbligo di nomina del fornitore quale Responsabile ai sensi art. 28 GDPR, sottolineano la necessità di un'analisi caso per caso delle attività concretamente svolte dal fornitore esterno.
È fondamentale, infatti, osservare che, anche nel caso in cui un fornitore di servizi informatici svolga esclusivamente il ruolo di manutentore tecnico dei dispositivi elettronici, la mera presenza di dati personali su tali dispositivi potrebbe comunque comportare un potenziale accesso agli stessi da parte del fornitore.
Si ricorda difatti che anche l’eventuale accesso - seppur occasionale - a dati personali configura un’ipotesi di “consultazione”, attività indicata quale forma di trattamento ai sensi dell’art. 4 GDPR.
Non è poi necessario che il trattamento dei dati personali sia “l’oggetto principale o primario del servizio prestato”, infatti l’EDPB nelle sopra citate Linee Guida osserva che “un fornitore di servizi può comunque agire come responsabile del trattamento anche laddove il trattamento dei dati personali non sia l’oggetto principale o primario del servizio, a condizione che, nella pratica, il cliente del servizio continui a determinarne le finalità e i mezzi”.
In queste situazioni è dunque fondamentale svolgere un’analisi caso per caso volta a stabilire il grado di influenza esercitata da ciascun fornitore esterno nella determinazione delle finalità e dei mezzi del trattamento, nonché le eventuali possibilità di accesso ai dati personali a lui attribuite.