Il Legislatore Europeo, tramite l’adozione del Regolamento Generale per la protezione dei dati 2016/679, meglio noto con l’acronimo “GDPR”, si è posto l’obiettivo di armonizzare la normativa concernente la tutela dei dati personali e la libera circolazione dei medesimi, indipendentemente dal fatto che questi siano sul territorio dell’Unione, purché gli interessati si trovino all’interno dell’Unione, in considerazione dell’avvento di nuove tecnologie e della sempre maggior facilità nelle comunicazioni e nello scambio di informazioni.
Con il GDPR la disciplina della protezione dei dati è stata oggetto di una riformulazione sostanziale caratterizzata da un mutamento di approccio, ad oggi dominato dal principio dell’accountability, e richiedente, come necessità imprescindibile, che le aziende si dotino di modelli di gestione dei dati personali in grado di coniugare le esigenze di business con le garanzie richieste dalla disciplina in tema di data protection, onde evitare rischi di trattamento illecito di dati.
La normativa sovranazionale in parola, plasmata con la veste di Regolamento e, conseguentemente, immediatamente applicativa da parte di ciascuno Stato membro dell’Unione, senza necessità di un ulteriore intervento attuativo nazionale, ha rivelato una crescente attenzione a livello europeo per il diffondersi di un mercato di servizi sempre più esternalizzato e realizzato tramite il coinvolgimento di differenti player che possono risultare implicati nella realizzazione del trattamento e quindi del servizio oggetto del contratto.
Un’organizzazione del “processo produttivo” sempre più segmentata, dunque, con conseguente potenziale declinazione del rapporto contrattuale in una pluralità di livelli.
In particolare, il GDPR, all’art. 4, identifica le figure del Titolare e del Responsabile del trattamento definendole come di seguito:
- “Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.”
- “Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che tratta dati personali per conto del titolare del trattamento”.
Dal testo della fonte di diritto in oggetto, inoltre, emerge, indirettamente, l’esistenza potenziale anche di un terzo soggetto che può essere coinvolto nella realizzazione del trattamento, il c.d. sub-Responsabile[1].
La normativa de quo, infatti, non ha solamente previsto la possibilità per il Titolare di affidare la realizzazione di un particolare trattamento al Responsabile del Trattamento quale soggetto separato ed autonomo rispetto al proprio complesso aziendale, ma anche la facoltà per il Responsabile, di nominare a sua volta “un altro responsabile”, ed ecco, quindi, l’inedita figura del c.d. Sub-responsabile e lo strutturarsi del rapporto contrattuale su un ulteriore livello.
A ben vedere il Regolamento non si riferisce espressamente alla figura del Sub-responsabile, ma la medesima si ricava implicitamente da quanto disposto all’art. 28, comma 4, secondo cui “[…]Quando il responsabile del trattamento ricorre ad un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento […]”.
Partendo dal dato normativo si evince che tale “altro responsabile” debba essere legato al Responsabile del trattamento da un ulteriore contratto o atto giuridico che si innesta e, inevitabilmente, si lega al rapporto contrattuale esistente tra Responsabile del trattamento e Titolare del trattamento e questo in quanto, tale “contratto di secondo livello” se così vogliamo definirlo a titolo esemplificativo, dovrà riprodurre il contenuto essenziale del “contratto principale”, poiché l’attività del Sub-responsabile risulta strumentale alla realizzazione del trattamento oggetto del medesimo.
L’esistenza di questa concatenazione tra i diversi soggetti coinvolti nelle attività di trattamento connesse al ciclo produttivo, e quindi anche tra Titolare e Sub-fornitore, emerge dal fatto stesso che quest’ultimo sia tenuto a rispettare gli stessi obblighi in materia di protezione dei dati che sono previsti nel contratto/atto giuridico concluso tra il Titolare e il Responsabile del trattamento. Ciò implica necessariamente che il Sub-Responsabile sia limitato nell’espletamento della sua attività dovendo seguire pedissequamente il perimetro di finalità determinate dal Titolare. In questa stratificazione di diversi contratti e atti giuridici si sostanzia la segmentazione del più ampio rapporto contrattuale fra Titolare e Responsabile del trattamento.
Il Sub-responsabile, quindi, è una figura che da un lato risulta legittimata dalla “investitura” formale operata dal Responsabile ma che, dall’altro, è tenuta ad agire nel rispetto delle direttive impartite dal Titolare nei cui confronti si trova in rapporto di subordinazione.
Il Titolare, dal canto suo, nella valutazione dei rischi determinati dall’affidamento/esternalizzazione, verso il Responsabile, dell’attività di trattamento dovrà tener conto non solo delle modalità di esecuzione e delle misure che questi si impegna ad adottare nell’espletamento di quella porzione di attività a lui facente capo, ma anche che il contenuto dei contratti o degli atti giuridici stipulati tra Responsabile e l’eventuale Sub-responsabile rispondano ai dettami previsti dalla normativa sovranazionale ed, in particolare, dispongano misure tecniche ed organizzative adeguate alla realizzazione degli impegni assunti.
Tant’è che il Regolamento riconosce in capo al Titolare il potere di autorizzare, oppure negare, il ricorso ad un altro responsabile.
Sul punto, l’art. 28 comma 2 appare chiaro “[…]Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento[…]”
Ciò significa che il Responsabile, qualora lo ritenesse necessario per l’espletamento del trattamento oggetto del contratto principale, non potrà, di sua sponte, ricorrere ad altro responsabile senza previo nulla osta del Titolare a meno che quest’ultimo non abbia rilasciato una procura di carattere generale, nel qual caso avrà, eventualmente, facoltà di opporsi alla designazione effettuata autonomamente dal Responsabile.
Allo stesso tempo il Regolamento determina un ulteriore rapporto gerarchico, quello tra Il Responsabile e il Sub-responsabile, in cui il primo si trova in posizione di sovra ordinazione rispetto al secondo. Tale assunto è ricavabile indirettamente dalla responsabilità imposta al Responsabile dall’art. 28 comma 4 secondo cui “[…]Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile”.
Il suddetto assetto determina una sorta di culpa in eligendo e di culpa in vigilando in capo al Responsabile, salvo che quest’ultimo non dimostri che l’inadempimento non sia in alcun modo a lui imputabile.
Una responsabilità siffatta giustifica, di per sé stessa, la possibilità per il Responsabile di impartire delle direttive al Sub-responsabile, purché non esorbitanti rispetto all’alveo delle finalità del trattamento determinate dal Titolare, che permettano di garantire la conformità del Sub-responsabile e della sua organizzazione alla normativa de quo.
È evidente, a questo punto, l’articolarsi del rapporto contrattuale in una pluralità di segmenti e la conseguente difficoltà nella determinazione del contenuto contrattuale in relazione ai diversi livelli del rapporto.
È chiaro che maggiori saranno i “passaggi di mano”, che andranno a caratterizzare la stratificazione del rapporto e la conseguente concatenazione contrattuale, più ampio e articolato sarà il rischio di violazioni della normativa con evidenti ripercussioni sui diritti e le libertà degli interessati.
Vi è da dire poi che, nonostante i contratti in essere tra i vari soggetti debbano sostanziarsi, in linea generale, nei medesimi obblighi in materia di protezione dei dati, non appare semplice ricorrere all’utilizzo di contratti predefiniti date le numerose possibili modalità di esecuzione dei servizi.
Sarebbe, tuttavia, auspicabile una standardizzazione delle clausole contrattuali, tramite una declinazione delle medesime che consenta una validità nel loro contenuto sia per i Responsabili sia per i Sub-Responsabili, di modo da garantire una sorta di preventivo controllo da parte del Titolare su quello che potrà essere il contenuto dell’ipotetico futuro contratto con un Sub-responsabile, essendo nella sostanza riproduttivo del contratto concluso con il Responsabile, e di modo che risultino conformi ai principi di:
- liceità che può essere intesa come la necessità che il trattamento previsto si fondi sul consenso dell’interessato o su altra base legittima prevista dal Regolamento Europeo o dal diritto dell’Unione o degli stati membri;
- trasparenza che può essere intesa come la necessità che le informazioni e le comunicazioni relative al trattamento dei dati personali siano accessibili e comprensibili tramite l’impiego di un linguaggio semplice e chiaro;
- correttezza che può essere intesa come la necessità che il trattamento si svolga in maniera leale ed onesta (sul punto si pensi anche a quanto previsto dalla normativa nazionale italiana che agli artt. 1175 c.c. e 1375 cc. dispone rispettivamente “il debitore e il creditore devono comportarsi secondo le regole della correttezza “,“il contratto deve essere eseguito secondo buona fede”) .
Una siffatta stratificazione dei rapporti contrattuali impone l’adozione di modelli contrattuali omogeni e coerenti con i più alti standard internazionali in ambito di Cybersecurity, con particolare riferimento ai rapporti con i fornitori. Questo tema è indirizzato da ISO/IEC JTC1/ SC27 “Information security, cybersecurity and privacy protection”, sia all’interno della nota ISO/IEC 27001, per il tramite dei controlli di sicurezza descritti nella ISO/IEC 27002, in particolare nella clausola A.15, sia all’interno della ISO/IEC 27036.
Queste due norme internazionali, in particolare, stanno vivendo una fase di rinnovamento che vede la prima, in particolare, in prossima pubblicazione entro il Q1/2022 mentre la seconda dovrà attendere più ampi per terminare il suo iter di revisione. Ciò nonostante, è già possibile rintracciare dei collegamenti fra le attuali versioni delle citate norme e strutturare di conseguenza i processi aziendali che portano alla selezione e gestione dei fornitori, compresi quindi anche i Sub-responsabili, con evidenti vantaggi anche in ambiti ulteriori rispetto la Data Protection.
In linea generale è possibile affermare che la gestione dei rapporti con i fornitori è strutturata secondo un macro-processo, che tipicamente si svolge sotto il coordinamento dell’ufficio acquisti di un’organizzazione, ma con il coinvolgimento di verse funzioni aziendali, articolato nelle seguenti macro-fasi:
- Formulazione di accordi: le organizzazioni possono avere una molteplicità di rapporti con i fornitori, la cui adeguatezza è raggiunta se almeno i ruoli e le reciproche responsabilità sono esattamente individuate e formalizzate;
- Definizione di processi organizzativi che abilitano la sub-fornitura e di processi di gestione tecnica: lo scopo di questi processi è definire, mantenere e garantire la disponibilità di politiche, procedure e, se del caso, istruzioni operative che permettano al Sub-responsabile di avere contezza sia degli obiettivi di sicurezza del Responsabile, sia delle strategie per il loro conseguimento, avendo quindi la possibilità di adattare, eventualmente, la propria operatività; In questo ambito rientra anche l’esecuzione di uno specifico risk assessment il cui obiettivo è quello di valutare i rischi nell’adozione di un particolare fornitore;
La sicurezza delle informazioni in un rapporto contrattuale con un Sub-responsabile, o più in generale con un fornitore esterno all’organizzazione, dovrebbe essere organizzato secondo cinque sotto-processi successivi, ognuno dei quali è descrivibile in termini di obiettivi, inputs, attività, outputs:
- Processo di pianificazione delle relazioni con i fornitori: il cui scopo è documentare la decisione adottata dalla direzione di ricorrere, per specifiche attività di trattamento, all’approvvigionamento di un servizio erogato da un terzo fornitore, nonché le considerazioni sulla sicurezza delle informazioni relative a tale approvvigionamento;
- Processo di selezione dei fornitori: il cui scopo è selezionare un Sub-responsabile che fornisca adeguate garanzie per le attività di trattamento a lui affidate. Allo stesso tempo, il Sub-responsabile ha l’obiettivo di rispondere alla richiesta di offerta, o alla gara indetta dal Responsabile o dal Titolare, considerando i rischi insiti nelle attività di trattamento a lui richieste e i collegati requisiti di sicurezza delle informazioni;
- Processo di accordo: il cui scopo è, tanto per il Titolare o Responsabile del trattamento, quanto per il Sub-responsabile, formalizzare in un contratto o altro atto giuridico, la relazione contrattuale, in modo che siano disciplinati almeno i seguenti aspetti:
- ruoli e responsabilità in materia di sicurezza delle informazioni per Titolare, Responsabile del trattamento e Sub-responsabile;
- controlli di sicurezza richiesti per le attività di trattamento;
- processo di transizione quando il servizio è stato precedentemente gestito da una parte diversa dal Sub-responsabile;
- gestione delle modifiche alla sicurezza delle informazioni, rilevanti per le attività di trattamento;
- gestione degli incidenti di sicurezza delle informazioni e, conseguentemente, delle violazioni dei dati;
- monitoraggio e applicazione della conformità;
- processo di cessazione delle attività di sub-fornitura.
- Processo di gestione delle relazioni con i fornitori: il cui scopo è, tanto per il Titolare o Responsabile del trattamento, quanto per il Sub-responsabile mantenere la sicurezza delle informazioni nelle attività di trattamento durante il periodo di esecuzione del rapporto con il Sub-responsabile e, laddove pertinente, anche successivamente alla cessazione del rapporto;
- Processo di risoluzione del rapporto con il Sub-responsabile: nel quale i seguenti obiettivi devono essere raggiunti tanto dal Titolare o Responsabile del trattamento, quanto dal Sub-responsabile, per gestire correttamente la sicurezza delle attività di trattamento anche durante la fase di risoluzione della relazione contrattale informazioni all’interno del processo di risoluzione del rapporto con il fornitore:
- proteggere la fornitura delle attività di trattamento durante la sua cessazione per evitare qualsiasi impatto sulla sicurezza delle informazioni che possa evolvere in una violazione dei dati;
- portare a conclusione la fornitura delle attività di trattamento in conformità al piano di cessazione precedentemente definito.
In conclusione, è certo che, la potenziale segmentazione contrattuale, eventualmente emergente fra Titolare e Sub-responsabili, impone, come obiettivo essenziale ed ineludibile, a tutte le organizzazioni che svolgono servizi in outsourcing, sia nella veste di Titolari sia nella veste di Responsabili, da un lato di delineare una struttura aziendale, processi operativi e misure tecniche e organizzative conformi e adeguate ai dettami del GDPR e, dall’altro, di delineare disposizioni contrattuali il più possibile standardizzate nel rispetto della normativa pertinente in ambito Protezione del persone fisiche con riguardo ai loro dati personali e, nel loro contenuto, valevoli anche per eventuali ulteriori soggetti , quali i Sub-Responsabili, coinvolti nella catena del trattamento, riducendo di conseguenza l’attività di controllo del Titolare sul contenuto di tali contratti e sulla loro attuazione in concreto nonché i rischi di trattamenti illeciti.
Nel perseguire questo approccio, come spesso accade, l’adozione volontaria di norme internazionali come quelle citate, permette di seguire processi standardizzati con notevoli ed evidenti vantaggi, anche in termini di certificazione dei processi aziendali: elemento questo sempre distintivo rispetto il mercato.
Note
[1] Tale costruzione giuridica era già stata oggetto di un parere n .5/2012 punto 4 fornito dal Gruppo di Lavoro per la tutela dei dati privacy istituito ex art. 29 della Direttiva 95/46 CE in relazione al tema del “cloud computing” ed alle garanzie relative ai subcontraenti. In particolare, nel parere si legge “la diffusione su vasta scala dei servizi di cloud computing comporta una serie di rischi per la protezione dei dati, in particolare una mancanza di controllo sui dati personali, nonché informazioni insufficienti in merito alle modalità, al luogo e all’esecutore del trattamento/sub-trattamento dei dati…qualsiasi contratto tra fornitore e cliente di servizi cloud dovrebbe prevedere delle clausole relative ai subcontraenti. Il contratto dovrebbe specificare che i sub incaricati possono essere autorizzati solo sulla base di un consenso che di norma può essere concesso dal responsabile del trattamento a fronte di un chiaro obbligo dell’incaricato del trattamento di informarlo in merito a eventuali cambiamenti previsti in proposito, mentre il responsabile del trattamento si riserva la possibilità, in qualsiasi momento, di opporsi a tali cambiamenti o di risolvere il contratto. Il contratto dovrebbe chiarire l’obbligo del fornitore cloud di indicare tutti i subcontraenti autorizzati. Inoltre, il fornitore cloud è tenuto a stipulare un contratto con ciascun subcontraente che rispecchi le clausole del contratto stipulato con il cliente cloud; il cliente dovrebbe garantire di essere in grado di avvalersi di possibilità di ricorso in caso di violazioni dei contratti da parte dei subcontraenti del fornitore”.
Articolo a cura di Irene Martinelli e Luciano Quartarone
https://www.ictsecuritymagazine.com/articoli/gdpr-la-figura-del-sub-responsabile-e-la-segmentazione-del-rapporto-contrattuale/