L’accountability del Titolare…e del Responsabile
Il GDPR obbliga i Titolari a dimostrare conformità attraverso politiche interne adeguate. Secondo la Cassazione, anche i Responsabili devono adottare misure idonee per tutelare i diritti degli interessati.
Stiamo assistendo negli ultimi mesi ad un numero sempre maggiore di provvedimenti del Garante della privacy che prevedono oltre alle sanzioni nei confronti del Titolare per la violazione del GDPR anche sanzioni per il Responsabile del trattamento ex art. 28 GDPR.
Il GDPR introduce per il Titolare un obiettivo da realizzare che lo obbliga a dimostrare il rispetto e la conformità del trattamento dei dati messo in atto al GDPR, mediante l'adozione di preventive politiche interne e di meccanismi idonei a garantire tale rispetto.
Secondo la Cass. Civ., Sez. I, ord. dell’11 aprile 2024, n. 9880 gli obblighi di accountability ricadono anche sul Responsabile del trattamento perché anche questo, ai sensi dell'art. 28, par. 1, del regolamento 2016/679, deve "mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato." ed è tenuto, pertanto, ad osservare il principio di responsabilizzazione.
Tra l’altro la Cassazione sottolinea che il Responsabile risulta tale anche in assenza di formale investitura mediante atto giuridico ex art. 28 GDPR.
Se da un lato, quindi, aumentano gli oneri dei Responsabili, dall’altro spetta ai Titolari valutare attentamente l’adeguatezza del Responsabile prima di affidare trattamenti di dati. Il Garante, infatti, ha sottolineato che in assenza di un adeguato processo di valutazione dei Responsabili, anche in presenza di violazione delle istruzioni da parte dei Responsabili, può essere addebitata al Titolare una violazione del Responsabile per culpa in eligendo.
Molta attenzione deve essere prestata poi al momento della formalizzazione dei ruoli privacy. In un recente Provvedimento del Garante del 22 febbraio 2024, è stato chiarito dall’Autorità che l’atto giuridico ex art. 28 GDPR deve essere sottoscritto da entrambe le parti, deve contenere un riferimento specifico al contratto a cui si riferisce e non può avere un contenuto standardizzato.
In particolare, l’accordo sul trattamento dei dati deve contenere le istruzioni specifiche che il Titolare impone al Responsabile e l’ambito di applicazione delle stesse, devono quindi essere individuati gli interessati, le tipologie di dati, i trattamenti eseguibili e le relative finalità.
Una corretta gestione del rapporto tra Titolare e Responsabile non può quindi che passare da un processo di qualifica e monitoraggio dell’adeguatezza del Responsabile, ma anche da una precisa e formale definizione dei ruoli e delle istruzioni.