Con una nota stampa rilasciata lo scorso 9 ottobre l’European Data Protection Board – EDPB ha informato che nel corso dell’ultima sessione plenaria è stato adottato un parere su alcuni obblighi derivanti dal ricorso a responsabili del trattamento e sub-responsabili del trattamento.
L’EDPB ha ricordato che, con riferimento agli obblighi derivanti dall’affidamento ai responsabili del trattamento e ai sub-responsabili del trattamento, i titolari del trattamento sono onerati da determinati doveri dei titolari del trattamento derivanti in particolare dall’articolo 28 GDPR. L’EDPB ha analizzato questi doveri, in particolare concentrandosi sui seguenti aspetti.
L’EDPB spiega che i titolari del trattamento dovrebbero avere le informazioni sull’identità (ossia nome, indirizzo, persona di contatto) di tutti i responsabili del trattamento, sub-responsabili del trattamento ecc. prontamente disponibili in ogni momento.
Inoltre l’obbligo del titolare del trattamento di verificare se i (sub)responsabili del trattamento presentino “garanzie sufficienti” dovrebbe applicarsi indipendentemente dal rischio per i diritti e le libertà degli interessati, sebbene la portata di tale verifica possa variare sulla base dei rischi associati al trattamento. Sempre nell’ambito delle verifiche dovute in capo al titolare, non esiste secondo l’EDPB un elenco di controlli da porre in essere, ma è chiaro che l’obbligo è continuativo nel tempo (quindi non da limitare alla fase di scelta).
L’EDPB afferma anche che, mentre il responsabile del trattamento iniziale dovrebbe garantire di proporre sub-responsabili del trattamento con garanzie sufficienti, la decisione finale e la responsabilità sull’assunzione di uno specifico sub-responsabile del trattamento spettano al titolare del trattamento.
L’EDPB ritiene che, ai sensi del GDPR, il titolare del trattamento non abbia il dovere di chiedere sistematicamente ai contratti di nomina del sub responsabile per verificare se gli obblighi in materia di protezione dei dati sono stati trasmessi lungo la catena di trattamento. Il titolare del trattamento dovrebbe valutare se la richiesta di una copia di tali contratti o il loro riesame siano necessari per poter dimostrare la conformità al GDPR. Con riferimento all’obbligo in capo al responsabile di imporre i medesimi obblighi che il titolare gli ha imposto anche sui sub responsabili, l’EDPB ha specificato che tali obblighi non devono essere intesi assolti solo qualora sia stata usata la stessa formulazione.
In caso di trasferimenti di dati personali al di fuori dello Spazio economico europeo avvengano tra due (sub)responsabili del trattamento, l’EDPB prescrive che il responsabile del trattamento – in quanto esportatore di dati – dovrebbe preparare la documentazione pertinente, ad esempio relativa al motivo del trasferimento utilizzato, alla valutazione d’impatto del trasferimento e alle eventuali misure supplementari. Tuttavia, poiché il titolare del trattamento è ancora soggetto agli obblighi derivanti dall’articolo 28, paragrafo 1, GDPR in materia di “garanzie sufficienti”, oltre a quelli di cui all’articolo 44 per garantire che il livello di protezione non sia compromesso dai trasferimenti di dati personali, dovrebbe valutare tale documentazione ed essere in grado di mostrarla all’autorità di protezione dei dati competente.
