GDPR, le Società di servizio alla Pubblica Amministrazione si adeguino

MICHELE Gorga 28/07/18
Società esterne aggiudicatarie dei sevizi informatizzati delle Pubbliche Amministrazioni (gestione del bilancio; dematerializzazione dei documenti; gestioni del servizio mail; servizio di posta elettronica certificata; banche dati ecc.) sono sempre più impreparate nell’adeguamento al GDPR. Si moltiplicano i casi di messa in mora e di minacciate azioni giudiziarie per l’esecuzione dei contratti di servizio che devono essere aggiornati al nuovo regolamento privacy UE 2016/679.

Con regolare cadenza tutti i nodi vengono al pettine e il malinteso compito delle funzioni di adeguamento al regolamento e alla data Protection, della necessità della nomina per le P.A. e Aziende, come per le società di informatica, della necessità di consulenti giuridici in tema di protezione dei dati troppe P.A. e Società di servizi hanno e continuano a fraintendere.  Aiutano alla confusione anche le gare pubblicate da grandi realtà, ad esempio come quella di Roma Capitale, che confonde nel proprio bando il servizio di Data Protection con quello di sicurezza informatica, e non fanno meglio in materia neanche le piccole realtà ad esempio  come  il Comune di Civitavecchia che replica la stessa antinomia.

Gioverebbe richiamare la normativa, fonte pare sconosciuta non solo ai tecnici della scienza dell’informazione ma anche a molta della classe burocratica degli Enti locali e così è utile ribadire che ciò che vale per il titolare, vale anche per i soggetti che, per contratto, sono designati dal titolare al trattamento.

Cosi non vi è ombra di dubbio che l’ermeneutica logica e letterale dell’art. 37 del Regolamento UE 2016/679 co. 1 chiaramente prevede che sia il titolare del trattamento che il responsabile del trattamento devono designare sistematicamente un responsabile della protezione dei dati ogni qualvolta il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico.  Al comma 7, del medesimo articolo è, poi, previsto che il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo. Inoltre ai sensi dell’art. 28 del RGPD il soggetto (esterno) che tratta dati “per conto” di un altro soggetto deve redigere il contratto di nomina del responsabile esterno con le prescrizioni inderogabili previste dal GDPR.

Il responsabile esterno dovrà trattare i dati nel rispetto de principio di minimizzazione; nel rispetto dei diritti degli interessati alla portabilità; assicurare il diritto alla cancellazione e alla revoca.  Inoltre il responsabile esterno deve impegnarsi a nominare e dovrà comunicare i dati del DPO Aziendale.  Ai fini che qui interessa il GDPR fissa dettagliatamente le caratteristiche dell´atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al parag. 3 dell´art. 28 al fine di dimostrare che il responsabile fornisca “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento.

Il GDPR consente anche la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, parag. 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest´ultimo risponde dinanzi al titolare dell´inadempimento dell´eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l´evento dannoso “non gli è in alcun modo imputabile” (si veda art. 82, paragrafo 1 e paragrafo 3).

Il  GDPR prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli dei rispettivi titolare tali obblighi riguardano, in particolare, la tenuta del registro dei trattamenti svolti (art. 30, parag. 2); l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (art. 32 regolamento); la designazione di un RPD-DPO ( linee-guida Gruppo “Articolo 29”).  In materia poi occorre anche tenere conto dell’art. 28 della  L. 20/112017, n. 167, art. 28  di modifica del D. Lgs. 30 giugno 2003 n. 196,  al co.  4-bis, prevede che fermo restando quanto previsto ai co. 1, 2, 3 e  4, il titolare  può  avvalersi,  per  il  trattamento  di  dati,  anche  sensibili, di  soggetti  pubblici  o  privati  che,  in  qualità  di responsabili del trattamento, forniscano le garanzie di cui al  co. 2 e che  per  il co. 5 il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma  4-bis  e  alle  istruzioni impartite dal titolare.

Orbene posto che la nomina del responsabile alla protezione dei dati è tautologicamente rivolta alla protezione dei dati delle persone fisiche, oggetto finale e diretto  della tutela quale bene giuridico e che la protezione dei dati è  posta in capo al titolare il cui interesse riflesso, attiene all’esenzione del profilo di responsabilità risarcitoria per le ipotesi di violazione dei dati, in quanto  il titolare, ai fini della tutela dei dati,  è tenuto a predisporre tutte le  misure tecnico-organizzative e normative conformi al GDPR, alla normativa nazionale ed Europea, ivi compresa la nomina del soggetto, in possesso di specifiche competenze, con funzioni di Responsabile alla protezione dei dati. Alla luce del quadro normativo di riferimento sarebbe davvero singolare che mentre il titolare è tenuto, per legge, a nominare un Responsabile alla protezione dei dati, a tale obbligo non sarebbe tenuto il responsabile esterno  che come responsabile tratta, su base contrattuale,  professionalmente e stabilmente, dati rilevanti che, quindi, resterebbero privi di controllo, consulenza e vigilanza una volta usciti fuori dalla sfera di influenza diretta del titolare.

Volume consigliato 

MICHELE Gorga

Scrivi un commento

Accedi per poter inserire un commento