Nuove responsabilità per i fornitori

ANDREA REGHELIN

29 gennaio 2016

Premessa

• Nella proposta di General Data Protection Regulation (GDPR) tra i soggetti

autorizzati ad effettuare trattamenti di dati personali, è espressamente

disciplinata la figura del Data Processor.

• Si tratta della figura corrispondente al “Responsabile del Trattamento”

disciplinato dal D.Lgs. N. 196/2003 (Codice della Privacy).

• Rispetto alla normative nazionale, tuttavia, il GDPR regolamenta tale figura in

maniera più dettagliata e specifica.

Data Processor

La figura del Data Processor è disciplinata da una specifica

norma che:

• prevede la facoltatività della sua designazione da parte

del Data Controller

• regolamenta il rapporto tra Data Processor e Data

Controller

Il Data Processor opera sotto la diretta autorità del Data

Controller, attenendosi alle istruzioni impartite.

(ai fini della designazione il Data Processor deve fornire idonea garanzia

del pieno rispetto delle vigenti disposizioni in materia di trattamento)

Art. 29

«La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro

ente, associazione od organismo preposti dal Titolare [Data Controller]

al trattamento di dati personali»

Data Processor

• La figura del Data Processor resta legata a quella del

Data Controller:

• Elabora dati personali secondo le istruzioni del

Data Controller

• Il rapporto tra Data Controller e Data Processor

deve essere disciplinato mediante contratto o

altro atto giuridico scritto

La figura del Data

Processor

è disciplinata da

molteplici norme del

Regolamento UE

(art. 26 e ss)

«La persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro

organismo che elabora dati personali» per conto del Data Controller

Data Processor

La figura del Data

Processor

è disciplinata da

molteplici norme del

Regolamento UE

(art. 26 e ss)

DATA CONTROLLER E DATA PROCESSOR

DEVONO STIPULARE:

l’argomento e la durata del trattamento

la natura e i motivi del trattamento

il tipo di dati personali e le categorie degli interessati

i doveri e i diritti del Data Controller

i compiti del Data Processor

CONTRATTO O ALTRO ATTO GIURIDICO SCRITTO

Data Processor

• Deve presentare garanzie sufficienti per mettere in atto

opportune misure tecniche ed organizzative adeguate in modo

che il trattamento sia conforme al Regolamento (assicurando la

tutela dei diritti dell’interessato).

• Può ricorrere ad un altro Data Processor (previo consenso

scritto, specifico o generale, del Data Controller).

• Supporta il Data Controller

• nell’adozione di appropriate misure tecniche e organizzative, al fine

di ottemperare alle richieste relative all’esercizio dei diritti

dell’interessato;

• nell’assicurare il rispetto degli obblighi relativi alla sicurezza dei

dati.

La figura del Data

Processor

è disciplinata da

molteplici norme del

Regolamento UE

(art. 26 e ss)

«La persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro

organismo che elabora dati personali» per conto del Data Controller

Data Processor

• Tiene un registro delle categorie di attività di trattamento dei dati

personali svolte per conto di un Data Controller.

• Allerta e informa senza ritardo il Data Controller immediatamente

dopo aver accertato la presenza di un data brech.

• Coopera con l’Autorità di Vigilanza.

• Designa un Responsabile della Protezione dei Dati (DPO), nei casi in

cui è richiesto

La figura del Data

Processor

è disciplinata da

molteplici norme del

Regolamento UE

(art. 26 e ss)

«La persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro

organismo che elabora dati personali» per conto del Data Controller

ULTERIORI COMPITI

Data Processor

La figura del Data

Processor

è disciplinata da

molteplici norme del

Regolamento UE

(art. 26 e ss)

RESPONSABILITÀ AUTONOMA

IN CAPO AL DATA PROCESSOR CHE

• DISATTENDE LE ISTRUZIONI RICEVUTE DAL CONTROLLER

• VIOLA LA LEGGE APPLICABILE

IL DATA PROCESSOR

SE IN VIOLAZIONE DEL REGOLAMENTO, DETERMINA LE FINALITÀ E I

MEZZI DI TRATTAMENTO, SARÀ CONSIDERATO COME DATA

CONTROLLER IN MERITO A QUEL TRATTAMENTO

RESPONSABILITA’

Data Processor

La figura del Data

Processor

è disciplinata da

molteplici norme del

Regolamento UE

(art. 26 e ss)

DANNO MATERIALE

O IMMATERIALE

cagionato da

trattamento non

conforme al

Regolamento UE

DIRITTO DI OTTENERE IL

RISARCIMENTO DEL

DANNO

DAL DATA PROCESSOR

RISARCIMENTO

Sanzione amministrativa pecuniaria

FINO A 10.000.000 €

FINO A 2% DEL FATTURATO MONDIALE TOTALE ANNUO

DELL'ESERCIZIO PRECEDENTE

VIOLAZIONI:

• obbligazioni del Data Controller o Data Processor;

Sanzione amministrativa pecuniaria

FINO A 20.000.000 €

FINO A 4% DEL FATTURATO MONDIALE TOTALE ANNUO

DELL'ESERCIZIO PRECEDENTE

VIOLAZIONI:

• regole generali relative al trattamento dei dati;

• diritti dell’interessato;

• trasferimento dei dati a un beneficiario di un Paese terzo o di organizzazioni

internazionali;

• inosservanza di un ordine o di una limitazione temporanea o definitiva del trattamento

o sospensione dei flussi di dati da parte dell’Autorità di controllo.

Sanzione amministrativa pecuniaria

Gli Stati membri:

• stabiliscono le norme relative alle sanzioni applicabili in caso di

violazione del Regolamento, in particolare per le infrazioni che

non sono soggette a sanzioni amministrative;

• adottano tutte le misure necessarie per garantire la loro

applicazione.

Conclusioni

• Le responsabilità attribuite dal General Data Protection Regulation alla figura del

Data Processor sono decisamente maggiori rispetto a quelle previste dal Codice

della Privacy; il Data Processor, infatti, non solo può essere considerato

Data Controller in caso di violazione della legge e/o delle istruzioni ricevute

dal Data Controller, ma è chiamato a rispondere anche dei danni cagionati.

• Con l’entrata in vigore del General Data Protection Regulation, al fine di non

incorrere in alcuna responsabilità, sarà quindi necessario che i Dati Processor

prestino molta attenzione in particolare:

• alla formalizzazione degli accordi tra Data Controller e Data Processor

• alla previsione analitica dei compiti affidati al Data Processor

• al rispetto delle istruzioni impartite dal Data Controller

Facci una domanda sul Blog

Contattaci su Twitter