La nomina del responsabile del trattamento ex art. 28 GDPR è l’atto con cui il titolare disciplina il ricorso a soggetti esterni chiamati a trattare dati personali per suo conto.

Nel sistema delineato dal Regolamento (UE) 2016/679, infatti, l’esternalizzazione di attività che implicano il trattamento di dati personali richiede una regolamentazione specifica, idonea a vincolare il responsabile del trattamento al rispetto delle istruzioni impartite dal titolare e degli obblighi previsti dalla normativa europea in materia di protezione dei dati personali.

L’art. 28 GDPR si inserisce nel più ampio principio di responsabilizzazione del titolare del trattamento, imponendo a quest’ultimo di selezionare soltanto soggetti che presentino garanzie sufficienti in ordine all’adozione di misure tecniche e organizzative adeguate.

Il presente articolo ha l’obiettivo di offrire una guida pratica alla redazione dell’atto di nomina del responsabile del trattamento, illustrandone i presupposti giuridici, la forma richiesta, il contenuto essenziale, e i connessi profili di responsabilità. L’analisi muoverà dalla distinzione tra titolare e responsabile, per poi esaminare le condizioni di validità della nomina, gli obblighi imposti dall’art. 28 GDPR, il ricorso a sub-responsabili, e le cautele redazionali necessarie per costruire un atto di nomina.

Chi è il responsabile del trattamento e quando deve essere nominato

Il responsabile del trattamento è definito dall’art. 4, n. 8, del GDPR come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. La definizione consente di cogliere il tratto distintivo della figura: il responsabile del trattamento non determina autonomamente le finalità del trattamento, né stabilisce in via indipendente i mezzi essenziali dello stesso, ma opera nell’ambito di un incarico ricevuto dal titolare, attenendosi alle istruzioni documentate da quest’ultimo impartite.

La nomina diventa necessaria ogniqualvolta il titolare affidi a un soggetto esterno lo svolgimento di attività che comportano operazioni su dati personali. Tali operazioni possono consistere, secondo l’ampia nozione di trattamento prevista dall’art. 4, n. 2, GDPR, nella raccolta, registrazione, conservazione, consultazione, elaborazione, comunicazione, cancellazione o distruzione dei dati.

Non è quindi decisivo il tipo di servizio contrattualmente affidato, ma la circostanza che, nell’esecuzione di quel servizio, il soggetto esterno acceda, utilizzi o comunque tratti dati personali riconducibili alla sfera di titolarità del committente.

Rientrano frequentemente in questa ipotesi i fornitori di servizi informatici, i gestori di piattaforme digitali, i consulenti del lavoro, i commercialisti, le società incaricate della manutenzione di software, i provider cloud, i soggetti che gestiscono newsletter, CRM, servizi di assistenza clienti o attività amministrative esternalizzate.

Il rapporto tra titolare e responsabile del trattamento nell’art. 28 GDPR

L’art. 28 GDPR disciplina il rapporto tra titolare e responsabile del trattamento secondo una logica di controllo e responsabilizzazione. Il titolare del trattamento, infatti, non può affidare attività di trattamento a qualunque soggetto esterno, ma deve ricorrere soltanto a responsabili che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento sia conforme al Regolamento e assicuri la tutela dei diritti degli interessati.

La scelta del responsabile del trattamento diventa, pertanto, una decisione rilevante sotto il profilo della compliance, perché presuppone una verifica preventiva dell’affidabilità del fornitore, della sua organizzazione interna, delle misure di sicurezza adottate.

L’atto deve definire la materia disciplinata e la durata del trattamento, la natura e la finalità delle operazioni svolte, il tipo di dati personali trattati, le categorie di interessati coinvolti, nonché gli obblighi e i diritti del titolare.

Più precisamente, l’atto di nomina del responsabile del trattamento svolge una duplice funzione. Da un lato, documenta le istruzioni del titolare e delimita l’ambito entro cui il responsabile può operare; dall’altro, consente di dimostrare, in ossequio al principio di accountability, che il titolare ha regolato in modo consapevole e verificabile la filiera del trattamento.

Forma e contenuto essenziale dell’atto di nomina del responsabile del trattamento

L’atto di nomina del responsabile del trattamento deve essere redatto in forma scritta, anche in formato elettronico, e deve contenere una disciplina sufficientemente precisa del rapporto instaurato tra titolare e soggetto esterno. L’art. 28 GDPR individua il contenuto minimo del contratto o dell’atto giuridico che vincola il responsabile del trattamento al titolare. La nomina deve descrivere l’oggetto del trattamento, la sua durata, la natura delle operazioni affidate, le finalità perseguite, il tipo di dati personali trattati e le categorie di interessati coinvolti.

Accanto alla descrizione del trattamento, l’atto deve prevedere gli obblighi specifici del responsabile del trattamento. Tra questi rientrano il dovere di trattare i dati soltanto su istruzione documentata del titolare, l’obbligo di garantire la riservatezza delle persone autorizzate al trattamento, l’adozione delle misure di sicurezza di cui all’art. 32 GDPR, l’assistenza al titolare nella gestione delle richieste degli interessati, la collaborazione per l’adempimento degli obblighi in materia di data breach, valutazione d’impatto e consultazione preventiva, nonché la cancellazione o restituzione dei dati al termine del rapporto.

La nomina può, inoltre, disciplinare la possibilità di ricorrere a sub-responsabili, le modalità di audit e controllo da parte del titolare, gli obblighi informativi verso quest’ultimo e le conseguenze dell’eventuale violazione delle istruzioni ricevute.

Le istruzioni documentate al responsabile del trattamento e le misure di sicurezza

Uno degli elementi più rilevanti dell’atto di nomina è rappresentato dalle istruzioni documentate che il titolare impartisce al responsabile del trattamento. Il GDPR non consente al responsabile di trattare i dati personali secondo valutazioni autonome o finalità proprie, ma impone che ogni operazione sia eseguita entro il perimetro tracciato dal titolare. Le istruzioni devono indicare, con sufficiente precisione, le attività consentite, le modalità di accesso ai dati, i limiti di utilizzo, le regole di conservazione, le procedure di cancellazione o restituzione.

Il contenuto dell’atto di nomina è strettamente coordinato con l’art. 32 GDPR, che impone l’adozione di misure tecniche e organizzative adeguate al rischio. Non esiste, sotto questo profilo, un modello unico valido per ogni trattamento, poiché le misure richieste dipendono dalla natura dei dati, dal numero degli interessati, dalle tecnologie impiegate, dal contesto operativo e dai possibili effetti pregiudizievoli per i diritti e le libertà delle persone fisiche.

In presenza di trattamenti digitali, piattaforme cloud, sistemi gestionali o servizi informatici, l’atto dovrà quindi disciplinare con particolare attenzione i profili relativi all’autenticazione degli utenti, alla gestione delle credenziali, alla segregazione degli accessi, alla cifratura, ai backup, ai log, alla continuità operativa, alla protezione da accessi abusivi e alla gestione degli incidenti.

L’atto di nomina deve infine prevedere che il responsabile del trattamento informi tempestivamente il titolare qualora ritenga che un’istruzione ricevuta violi il GDPR o altre disposizioni in materia di protezione dei dati personali.

Sub-responsabili, fornitori ulteriori e catena del trattamento

Un profilo particolarmente delicato dell’atto di nomina riguarda la possibilità che il responsabile del trattamento si avvalga, a sua volta, di ulteriori soggetti per l’esecuzione di specifiche attività di trattamento.

L’art. 28 GDPR disciplina tale ipotesi stabilendo che il responsabile non può ricorrere a un altro responsabile senza previa autorizzazione scritta del titolare, specifica o generale. La previsione risponde all’esigenza di evitare che la catena del trattamento si estenda senza controllo, sottraendo al titolare la possibilità di conoscere quali soggetti abbiano accesso ai dati personali e con quali garanzie.

Nella prassi, il tema dei sub-responsabili assume rilievo soprattutto nei servizi digitali, informatici e cloud, nei quali il fornitore principale può avvalersi di infrastrutture esterne, hosting provider, società di manutenzione, servizi di assistenza tecnica, piattaforme di comunicazione o ulteriori strumenti applicativi. In questi casi, l’atto di nomina del responsabile del trattamento deve stabilire se il ricorso a sub-responsabili sia vietato, consentito solo previa autorizzazione specifica, oppure ammesso sulla base di un’autorizzazione generale accompagnata dall’obbligo di informare il titolare di ogni successiva modifica.

L’art. 28 GDPR chiarisce inoltre che, qualora il sub-responsabile ometta di adempiere ai propri obblighi, il responsabile del trattamento iniziale conserva nei confronti del titolare l’intera responsabilità per l’adempimento degli obblighi del soggetto ulteriore.

Responsabile del trattamento, data breach e obblighi di collaborazione

La nomina ex art. 28 GDPR incide direttamente sulla ripartizione delle responsabilità tra titolare e responsabile del trattamento. Quest’ultimo, infatti, non assume una posizione neutra o meramente esecutiva, poiché il Regolamento gli attribuisce obblighi propri, la cui violazione può determinare conseguenze sanzionatorie.

Il responsabile del trattamento risponde, in particolare, quando non adempie agli obblighi specificamente posti a suo carico dal GDPR o quando agisce in modo difforme o contrario rispetto alle legittime istruzioni ricevute dal titolare.

L’atto di nomina deve prevedere che il responsabile del trattamento informi tempestivamente il titolare qualora venga a conoscenza di un data breach, fornendo tutte le informazioni necessarie per consentire la valutazione dell’evento, l’eventuale notifica all’Autorità di controllo e, ove necessario, la comunicazione agli interessati.

La tempestività della comunicazione è essenziale, poiché il titolare è tenuto, nei casi previsti dall’art. 33 GDPR, a notificare la violazione al Garante entro settantadue ore dal momento in cui ne è venuto a conoscenza. Per questa ragione, nella prassi contrattuale si prevede spesso un termine interno più breve a carico del responsabile, così da consentire al titolare di rispettare i propri obblighi normativi.

Il responsabile del trattamento è inoltre tenuto ad assistere il titolare nell’adempimento degli obblighi connessi alla sicurezza del trattamento, alla valutazione d’impatto sulla protezione dei dati, alla consultazione preventiva dell’Autorità e alla gestione delle richieste di esercizio dei diritti degli interessati.

Occorre infine considerare che, ai sensi dell’art. 28, paragrafo 10, GDPR, qualora il responsabile del trattamento violi il Regolamento determinando autonomamente le finalità e i mezzi del trattamento, esso può essere considerato titolare del trattamento in relazione a quelle specifiche operazioni.

Assistenza legale dedicata in materia privacy

L’atto di nomina del responsabile del trattamento è parte integrante della contrattualistica privacy e della più ampia governance dei dati personali. La sua predisposizione richiede l’analisi del servizio affidato, dei flussi informativi, delle infrastrutture utilizzate, delle categorie di dati trattati, dei soggetti autorizzati, e della catena dei fornitori coinvolti.

Il nostro Studio assiste imprese e startup nella predisposizione di atti di nomina del responsabile del trattamento, data processing agreement e, in generale, nell’elaborazione della documentazione GDPR.

Contattaci per un confronto!

 

Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.

 

 

Fac simile sintetico di atto di nomina del responsabile del trattamento ex art. 28 GDPR

Di seguito si propone uno schema meramente esemplificativo di atto di nomina del responsabile del trattamento, predisposto al solo fine di illustrare la struttura minima del documento.

Il modello non è destinato a essere utilizzato senza preventiva verifica del caso concreto e senza il supporto di un professionista.

 

ATTO DI NOMINA A RESPONSABILE DEL TRATTAMENTO

ai sensi dell’art. 28 del Regolamento (UE) 2016/679

Tra:

[●], con sede in [●], C.F./P. IVA [●], in persona del legale rappresentante pro tempore [●], di seguito il “Titolare del trattamento”;

e

[●], con sede in [●], C.F./P. IVA [●], in persona del legale rappresentante pro tempore [●], di seguito il “Responsabile del trattamento”.

Premesse

Il Titolare ha affidato al Responsabile lo svolgimento del servizio di [●], regolato dal contratto/accordo del [●].

Nell’esecuzione di tale servizio, il Responsabile potrà trattare dati personali per conto del Titolare, nei limiti necessari allo svolgimento dell’incarico ricevuto.

Ai sensi dell’art. 28 GDPR, il Titolare

nomina

[●] quale Responsabile del trattamento per le attività connesse al servizio di [●].

1. Oggetto del trattamento

Il Responsabile è autorizzato a trattare i dati personali esclusivamente per le seguenti finalità:

[indicare sinteticamente le finalità del trattamento]

Le operazioni di trattamento consentite sono:

[indicare sinteticamente le operazioni: raccolta, conservazione, consultazione, elaborazione, comunicazione, cancellazione, altro]

2. Dati personali e interessati

Le categorie di dati personali trattati sono:

[●]

Le categorie di interessati coinvolti sono:

[●]

3. Durata

La presente nomina ha durata pari a quella del rapporto contrattuale principale, salvo diversa istruzione scritta del Titolare.

Alla cessazione del rapporto, il Responsabile dovrà restituire o cancellare i dati personali secondo le istruzioni del Titolare.

4. Istruzioni del Titolare

Il Responsabile si impegna a trattare i dati personali soltanto sulla base delle istruzioni documentate del Titolare e nei limiti del servizio affidato.

Il Responsabile non potrà utilizzare i dati per finalità proprie o diverse da quelle indicate nel presente atto.

5. Obblighi del Responsabile

Il Responsabile si impegna a garantire la riservatezza delle persone autorizzate al trattamento, ad adottare misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR, ad assistere il Titolare nell’adempimento degli obblighi privacy e a mettere a disposizione le informazioni necessarie per dimostrare il rispetto della presente nomina.

6. Sub-responsabili

Il Responsabile potrà ricorrere a sub-responsabili soltanto previa autorizzazione scritta del Titolare, secondo le seguenti modalità:

[autorizzazione specifica / autorizzazione generale / divieto di ricorso a sub-responsabili]

7. Violazione dei dati personali

In caso di violazione dei dati personali, il Responsabile dovrà informare il Titolare senza ingiustificato ritardo e comunque entro il termine di:

[●] ore

La comunicazione dovrà contenere le informazioni disponibili sulla natura della violazione, sui dati coinvolti, sulle possibili conseguenze e sulle misure adottate.

8. Misure di sicurezza

Il Responsabile dichiara di adottare misure tecniche e organizzative adeguate rispetto al trattamento affidato, consistenti in particolare in:

9. Audit e controlli

Il Responsabile si impegna a collaborare con il Titolare in caso di richieste documentali, verifiche o controlli relativi al trattamento dei dati personali svolto per conto del Titolare.

10. Accettazione della nomina

Con la sottoscrizione del presente atto, il Responsabile accetta la nomina ai sensi dell’art. 28 GDPR e si impegna a rispettare gli obblighi previsti dalla normativa applicabile in materia di protezione dei dati personali.

Luogo e data: [●]

Il Titolare del trattamento

Il Responsabile del trattamento