Data Controller – Data Processor – Joint Controller – Data Breach Notification

joint-controller

La semplificazione più lampante almeno in prima lettura, è che il GDPR2016 ha portato nel variegato panorama normativo della Privacy tutta italiana una inquadrata a due: Data Controller e Data Processor.

L’attuale schema nazionale legato al Dlgs 196/2003 che prevede ben tre soggetti, “Titolare del Trattamento” (Data Controller), “Responsabile del Trattamento” (Data Processor) e “Incaricato del Trattamento” (Data Handler) è un’atipicità che ci siamo portati dietro per troppo tempo.

Di fatto dovremmo abituarci ad utilizzare la terminologia GDPR in maniera più appropriata, tenendo in dovuta considerazione anche la differenza di ruoli e soprattutto delle rispettive responsabilità che ne derivano.

Ovviamente dovremo prestare molta attenzione alla figura del Data Processor poiché non saranno tutti allo stesso livello e a seconda delle funzioni ad essi attribuiti e relative istruzioni potranno classificarsi in maniera differente tra Data Processor più significativi (attuali Responsabili del Trattamento) e Data Processor meno significativi (attuali Incaricati del Trattamento). Quello che farà la differenza saranno proprio i trattamenti dei dati e relativi compiti ad essi delegati, tramite nomine/incarichi e/o veri e propri contratti di servizi per mezzo dei quali il Data Controller (attuale Titolare del Trattamento) delegherà verso tali soggetti parte dei propri trattamenti di dati personali.

Nuova e fondamentale ca comprendere nel nuovo contesto GDPR è il Joint Controller o Co-Responsabile del Trattamento (od anche Co-Titolare del Trattamento). Tale figura attualmente non è prevista dalla disciplina italiana, quanto meno in maniera chiara ed esplicita, anche se di fatto in molti casi un Joint Controller potrebbe inquadrarsi ad esempio per un fornitore di servizi in Cloud. Oggi tali trattamenti, che con il nuovo GDPR, saranno governati tramite questa nuova co-titolarità o co-responsabilità di trattamento con le nuove responsabilità che ne deriveranno, sono effettuati da “Responsabili Esterni di Specifici Trattamenti”, ma presto tale scenario muterà e obbligherà tali soggetti, soprattutto a seguito delle nuove responsabilità che avranno, a trattare i dati personali a loro assegnati con maggiore attenzione e soprattutto con una conformità non solo formale, ma anche sostanziale sia tecnica che normativa. E questo è decisamente uno degli obbiettivi del nuovo GDPR.

Nello specifico il Joint Controller è quindi un Responsabile saldamente congiunto del trattamento e, nello specifico, per un medesimo trattamento di dati personali potranno sussistere due responsabili del trattamento, che determinano congiuntamente le finalità e i mezzi del trattamento, stabilendo così le rispettive responsabilità in merito al rispetto degli obblighi derivanti dal GDPR2016.

Prima diretta conseguenza di questa “interdipendenza” sarà la possibilità, per il soggetto che risultasse eventualmente anche danneggiato dal trattamento posto in essere dal connubio, di esercitare i propri diritti nei confronti di ciascun Data Controller Congiunto del trattamento e/o Joint Controller.

Questo GDPR2016 introdurrà nuove garanzie e più stringenti requisiti di tutela per i soggetti interessati e relativi dati personali, nonché salatissime multe e sanzioni per i Data Controller (Titolari del Trattamento) e relativi Data Processor significativi (Responsabili del Trattamento).

Con i nuovi obblighi in materia di consenso, anonimizzazione dei dati, DPO (Data Protection Officer), trasferimenti di dati transfrontalieri, notifica delle violazioni, il GDPR impone alle imprese e professionisti che trattano dati personali dei cittadini dell’Unione Europea di intraprendere un grande processo di revisione, se non di riforma nel senso più stretto, dei propri modelli organizzativi e di riflesso anche dei rispettivi modelli di business e consulenza.

Il GDPR introduce anche per la prima volta l’obbligo della Data Breach Notification, notifica in caso di violazioni di dati che il nostro attuale Garante aveva invece relegato solo ad alcune categorie specifiche.

Il GDPR separa la responsabilità e gli obblighi dei Data Controller dai relativi Data Processor, soprattutto se esterni, obbligando di fatto i primi a delegare trattamenti di dati o processi aziendali che comportino comunque un trattamento anche indiretto di dati personali (Cloud-Mail) solo a soggetti che siano in grado di “offrire sufficienti”, ma meglio dire “adeguate” garanzie nell’adozione di “idonee misure tecniche e organizzative volte alla protezione dei dati personali” proprio nel pieno soddisfacimento del nuovo Regolamento GDPR. I Data Processor, inoltre, devono adottare tutte le misure di sicurezza nel rispetto degli standard previsti, con un occhio di riguardo anche all’adozione di possibili evoluzioni tecniche che si profilano all’orizzonte.

Entrambi, Data Controller e Data Processor, sono tenuti ad “attuare misure tecniche e organizzative” adeguate tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”, così cita il GDPR che continua indicando alcune ulteriori misure di sicurezza al fine della mitigazione del rischio qualila pseudonimizzazione e la cifratura dei dati personali; la capacità di assicurare la continuità e la riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.

Al fine della dimostrazione di un adeguato standard di sicurezza in conformità con le prescrizioni del GDPR, Data Controller e Data Processor possono aderire sia ad un “approvato codice di condotta” o ad un riconosciuto meccanismo di certificazione tipo le ISO.

In caso di violazione dei dati personali (Data Breach) si rende necessaria la comunicazione all’Autorità di Vigilanza Nazionale. Nuovo obbligo introdotto dal GDPR, non previsto dalla ormai abrogata Direttiva UE 95/46, che ne definisce anche i requisiti fondamentali da inserire nella comunicazione e l’eventuale ulteriore comunicazione, meno formale ma sempre efficace, da inoltrare ai soggetti interessati.

Per Data Breach si intende la violazione degli standard di sicurezza adottati per la protezione dei dati personali che può comportare “accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque trattati”.

Nel caso di Data Breach, le imprese sono tenute a informare adeguatamente le Autorità di Controllo “senza indebito ritardo e, ove possibile, entro e non oltre 72 ore dopo esserne venuti a conoscenza”. Qualora la notifica non venga effettuata entro tale termine, si rende necessario fornire una “giustificazione motivata” per tale ritardo. E’ prevista anche un’eccezione all’obbligo di notificazione, difficile da attuare anche per le aziende o professionisti più adeguatamente organizzati sotto il profilo tecnico, comunque sempre da valutare e dimostrare adeguatamente: eccezione che rischia sicuramente di portare a conflitti pericolosi sulla politica decisionale e di responsabilità tra il Data Controller e il DPO.

Tale nuovo obbligo del Data Breach è letteralmente “straripante” ed ha un impatto significativo a livello organizzativo e tecnico per qualunque impresa che dovrà adottare tutte quelle misure di sicurezza adeguate al fine di ridurre al minimo tale rischio. E qui entra di prepotenza la crittografia, che se considerata quale ulteriore misura di sicurezza, nel caso di Data Breach diventa necessaria. Perché “obbligatoria”? Per avere l’ancora di salvezza della possibilità di evitare almerno la comunicazione ai soggetti interessati, che porterebbe ad esiti imprevedibili e danno di immagine.

Ma con le tecnologie attualmente disponibili non sarà mica un problema informare tutti i soggetti interessati? Se, il database contenente gli indirizzi mail sia accessibile, e che il sistema di posta sia in funzione, altrimenti sia gli Incaricati al Trattamento che i Data Controller si occuperanno di inserimento e Data Entry, compreso il Data Processor. E poi forse è il caso di chiarire che i “soggetti interessati” sono in primis fornitori, poi i lavoratori dipendenti e poi ancora … i clienti. Ebbene sì, sarà necessario darne comunicazione anche ai propri clienti. Inimmaginabile il danno reputazionale, con tutte le conseguenze che ne derivano in termini economici, sanzionatori e di risarcimento del danno in sede civile.

 

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Condividi allo stesso modo 4.0 Internazionale.

Annunci