Nomina a responsabile esterno – Come tutelarsi?

Per adeguarsi a quanto richiede il GDPR non basta predisporre una informativa ben fatta. Ci sono svariati adempimenti da rispettare per poter trattare i dati in modo lecito.

Uno di questi è la nomina a responsabile esterno quando si decide di esternalizzare un servizio.

Come abbiamo spiegato in un precedente articolo del nostro blog, il titolare ha l’obbligo e la responsabilità di nominare il proprio fornitore e assicurarsi di fornirgli tutte le istruzioni affinché sappia come deve trattare in dati, quali sono i suoi obblighi e quali garanzie per la sicurezza dei dati deve adottare.  

Purtroppo, però, dopo più di 2 anni dall’entrata in vigore del GDPR ci imbattiamo ancora in vicende che vedono aziende sanzionate per non aver nominato i propri fornitori come responsabili esterni, secondo quanto previsto dall’articolo 28 del Regolamento.

È il caso della Regione Lazio che è stata sanzionata per 75 mila euro per non aver nominato responsabile del trattamento dati la società di call center a cui aveva affidato la gestione delle prenotazioni di prestazioni sanitarie dei propri utenti. L’assenza di una chiara definizione del rapporto tra il titolare e il responsabile comporta la mancanza di una base giuridica sulla quale dovrebbe basarsi il trattamento dei dati: per un decennio quindi questa società ha trattato in maniera illecita i dati a lei affidati.

Il responsabile esterno è sempre corresponsabile per una mancata nomina?

In generale la mancata nomina a responsabile esterno rende vulnerabile e a rischio di sanzione sia il titolare del trattamento che il fornitore stesso, perché avrebbe dovuto regolarizzare la sua posizione per garantire un corretto trattamento dei dati secondo le istruzioni che il titolare avrebbe dovuto fornirgli.

Diversamente da quanto è successo per il caso “Roma Capitale” nella vicenda che stiamo analizzando, però, la società coinvolta non è stata questa volta sanzionata dal Garante ma soltanto ammonita. È emerso, infatti, che la società di call center aveva ripetutamente ribadito alla Regione Lazio la necessità di essere nominata responsabile del trattamento e aveva messo in atto misure conformi a quanto richiesto dal GDPR, istituendo il registro dei trattamenti e adoperandosi per garantire adeguate misure di sicurezza.

Si evince, quindi, che non sempre l’assenza della nomina si possa imputare ad una disattenzione o a una scelta del responsabile esterno, ma capiti anche che i titolari, che per primi dovrebbero garantire la sicurezza e l’implementazione di tutte le misure necessarie a trattare i dati dei loro interessati, tralascino una parte importante dei loro obblighi.

Non è detto che un’indagine ispettiva che, in prima battuta, non riguarda la propria azienda ma ne coinvolge una alla quale si offrono servizi non comporti, in un secondo momento, anche dei controlli su di noi. È bene quindi non farsi trovare impreparati!

È fondamentale impegnarsi a implementare quanto richiesto dal GDPR e a sollecitare i titolari ai quali si sta fornendo un servizio affinché venga sottoscritta una nomina (preferibilmente prima di iniziare ad erogare la prestazione), proprio perché, se c’è evidenza che si siano compiute tutte le operazioni necessarie richieste, il rischio di incorrere in una sanzione pecuniaria, in caso di ispezioni, si riduce e può trasformarsi in un semplice ammonimento, come abbiamo visto.

È per questo che, come DPO esterni, consigliamo sempre alle società che forniscono servizi, di includere nei propri contratti l’auto-nomina a responsabile esterno ex art. 28 GDPR, per tutelare sé stessi e per offrire un servizio attento anche a quei titolari un po’ disattenti.