x

x

GDPR - Parlamento: la legge europea regola i rapporti tra titolare del trattamento ed il responsabile, per i possibili casi di outsourcing

GDPR - Parlamento: la legge europea regola i rapporti tra titolare del trattamento ed il responsabile, per i possibili casi di outsourcing
GDPR - Parlamento: la legge europea regola i rapporti tra titolare del trattamento ed il responsabile, per i possibili casi di outsourcing

La Legge europea 167/2017, che entrerà in vigore il 12 dicembre 2017, modifica l’articolo 29 del Codice Privacy in materia di responsabile del trattamento, in perfetta adesione a quanto previsto dall’articolo 28 del nuovo Regolamento privacy europeo 679/2016 (“GDPR”) che, come è ormai noto, sarà applicabile dal 25 maggio 2018.

 

Formalizzazione dei rapporti tra titolare e responsabile

Le modifiche introdotte interessano in particolare il trattamento dei dati nell’ambito di rapporti in outsourcing: in queste ipotesi committente e fornitore esterno di servizi dovranno formalizzare i rispettivi ruoli e responsabilità. Committente e fornitore potranno essere contitolari del trattamento, ed in tal caso decideranno insieme finalità e modalità del trattamento o, in caso contrario, se il fornitore tratta i dati “per conto” del committente, essi saranno rispettivamente titolare e responsabile del trattamento.

Quello che stabilisce a riguardo la legge europea, riprendendo il contenuto del Regolamento, è che i due soggetti devono redigere un atto giuridico – tendenzialmente un contratto – in cui sono chiariti i rapporti tra loro intercorrenti. Il Garante Privacy metterà a disposizione modelli di tale contratto.

Le integrazioni al Codice privacy

Nello specifico, la legge europea 2017 aggiunge all’articolo 29 del Codice privacy (“Responsabile del trattamento”) due commi:

- 4-bis. “Fermo restando quanto previsto ai commi 1, 2, 3 e 4, il titolare può avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualità di responsabili del trattamento, forniscano le garanzie di cui al comma 2. I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento; i predetti atti sono adottati in conformità a schemi tipo predisposti dal Garante”

- 5. “Il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma 4-bis e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle proprie istruzioni e di quanto stabilito negli atti di cui al comma 4-bis”.

Le disposizioni del GDPR

La Legge Europea riprende espressamente principi e disposizioni introdotti dal GDPR. L’articolo 4 del GDPR definisce il responsabile del trattamento come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”, mentre l’articolo 28 stabilisce che i compiti e le modalità di trattamento del responsabile sono determinati in un contratto/atto giuridico attivo tra titolare e responsabile.

 

Conclusioni

In sintesi, in caso di affidamento di prestazioni di assistenza ad un fornitore esterno, il titolare dovrà predisporre un contratto nel quale dovrà precisare compiti, obblighi (tra cui ad esempio adozione di particolari misure di sicurezza nonché redazione di report periodici), responsabilità del responsabile nonché poteri ispettivi del titolare.

Per ulteriori informazioni sul GDPR si veda la Guida III al Regolamento Privacy UE 2016/679.

(Parlamento, Legge europea 2017- Disposizioni per l'adempimento degli obblighi derivanti dall'appartenenza dell'Italia all'Unione europea - Pubblicata nella Gazzetta Ufficiale il 27 novembre 2017, n. 277)