EDPB, parere 22/2024: gli obblighi del Titolare discendenti dall’affidamento di incarichi ai Responsabili e ai sub-Responsabili del trattamento dati

EDPB, parere 22/2024: gli obblighi del Titolare discendenti dall’affidamento di incarichi ai Responsabili e ai sub-Responsabili del trattamento dati
Lo scorso 5 luglio 2024, l’Autorità di vigilanza danese (in seguito e per brevità, “DK SA”) ha chiesto al Comitato europeo per la protezione dei dati (in seguito, "EDPB") – in conformità con quanto disposto dall’art. 64, paragrafo 2, del GDPR – di emettere un parere che fornisse un’interpretazione armonizzata rispetto ad alcuni aspetti previsti dall’art. 28 del GDPR. Più nel dettaglio:

obblighi derivanti dal ricorso a Responsabili e sub-Responsabili del trattamento.

Il parere si concentra sugli obblighi del Titolare del trattamento ai sensi dell'articolo 28, paragrafo 1, del GDPR tra questi, si segnala che:

(i) i Titolari dovrebbero disporre di a) tutte le informazioni necessarie dei responsabili coinvolti nella catena di trattamento (quali nome, indirizzo, persona di contatto, descrizione delle attività di trattamento svolta) al fine di poter determinare le finalità e i mezzi di trattamento, ivi inclusa, la scelta di nomina dei sub-Responsabili, in ogni caso sottoposta ad autorizzazione scritta (specifica o generale) del Titolare stesso; b) informazioni sempre aggiornate e facilmente accessibili dei sub-Responsabili del trattamento per garantire trasparenza, rispondere prontamente a richieste di accesso degli interessati e reagire tempestivamente in caso di violazioni; 

(ii) i Titolari dovrebbero verificare e documentare se i sub-Responsabili presentino “garanzie sufficienti” indipendentemente dal rischio per i diritti e le libertà degli interessati, resta quindi inteso che, l’eventuale instaurazione di una catena di trattamento non debba far venir meno il livello di protezione dei dati poiché il Titolare del trattamento rimane responsabile della liceità del trattamento posto in essere; dunque, sebbene l’estensione di tale verifica possa essere più o meno estesa a seconda dei rischi associati al trattamento, questo non implica una parallela diminuzione degli obblighi esistenti e normativamente prescritti; 

(iii) il Titolare del trattamento non è tenuto, in base al GDPR, a richiedere sistematicamente i contratti che i fornitori stipulano con i propri responsabili del trattamento per verificare se gli obblighi di protezione dei dati siano stati correttamente allocati lungo la catena del trattamento; ciò posto, sebbene i contratti di sub-trattamento non debbano essere speculari, il Responsabile iniziale rimane “responsabile” di garantirne la conformità circa l’esistenza dei principi e dei contenuti minimi normativamente prescritti. Il titolare dovrebbe valutare se richiedere una copia di tali contratti o esaminarli solo in forza di circostanze specifiche quali possibili violazioni o richieste delle autorità di vigilanza.

Obblighi del Titolare del trattamento rispetto ai trasferimenti di dati personali fuori dello Spazio Economico Europeo (SEE) 

(iv) il Titolare, laddove non sia l'esportatore diretto dei dati, deve assicurarsi che i Responsabili del trattamento, che operano per suo conto, rispettino le normative del capo V del GDPR, compreso l'utilizzo di strumenti adeguati al trasferimento. In sintesi, dovrà assicurarsi, tramite una valutazione accurata della documentazione, che i Responsabili del trattamento rispettino gli obblighi legati ai trasferimenti internazionali di dati, graduando l’intensità delle verifiche in base ai rischi e alle circostanze del trattamento. In ogni caso, qualsiasi trattamento dovrà esser regolato da un contratto o atto giuridico che impegni il Responsabile a trattare i dati solo su istruzioni documentate del Titolare fatti salvi gli obblighi di legge derivanti dal diritto dell'UE o degli Stati membri.

Avv. Marta Cogode e Dott.ssa Rossella Taddei

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori