Art. 28 GDPR — Responsabile del trattamento

Commento

La figura del responsabile (processor)

L'art. 28 GDPR disciplina il responsabile del trattamento (data processor), figura che tratta dati personali per conto del titolare. La distinzione titolare/responsabile è sostanziale: il titolare decide finalità e mezzi, il responsabile esegue secondo istruzioni. Cloud provider, hosting, CRM SaaS, payroll esternalizzato, agenzie marketing sono tipicamente responsabili. La qualificazione corretta è cruciale perché determina i contenuti del contratto, i flussi di responsabilità e gli obblighi diretti. Le linee guida EDPB 7/2020 hanno fornito test pratici per distinguere ruoli.

Selezione del responsabile (par. 1)

Il par. 1 prevede che il titolare ricorra unicamente a responsabili che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell'interessato. È due-diligence obbligatoria: il titolare deve valutare il responsabile prima di affidargli il trattamento. Strumenti: questionari di compliance, certificazioni (ISO 27001, ISO 27701), audit, valutazione di policy e referenze. La scelta superficiale è violazione di accountability ex art. 24.

Contratto art. 28 (par. 3)

Il par. 3 impone che il trattamento da parte del responsabile sia disciplinato da un contratto o altro atto giuridico vincolante che vincoli il responsabile al titolare e che stipuli la materia, la durata, la natura e la finalità del trattamento, il tipo di dati personali, le categorie di interessati e gli obblighi e i diritti del titolare. Il contratto è scritto, in forma elettronica inclusa. La Commissione e i Garanti hanno pubblicato Standard Contractual Clauses (SCC) approvate, che possono essere adottate. Senza contratto adeguato, il trattamento è illecito e ogni parte risponde indipendentemente.

Clausole obbligatorie del par. 3

Il par. 3 elenca otto clausole obbligatorie: (a) tratta i dati solo su istruzione documentata; (b) garantisce confidenzialità del personale autorizzato; (c) adotta misure di sicurezza ex art. 32; (d) condizioni per sub-responsabili (par. 2 e 4); (e) assiste il titolare nei diritti degli interessati; (f) assiste in DPIA, sicurezza, breach; (g) cancella o restituisce dati al termine; (h) consente audit e ispezioni. Sono cogenti: contratti che ne omettono una sono inadeguati. EDPB ha sviluppato template di riferimento.

Sub-responsabili (par. 2 e 4)

Il par. 2 prevede che il responsabile non ricorra a un altro responsabile (sub-responsabile) senza autorizzazione scritta del titolare, specifica o generale; in caso di autorizzazione generale, il responsabile informa il titolare di eventuali modifiche per dargli l'opportunità di opporsi. Il par. 4 estende le clausole del par. 3 al sub-responsabile: stesso vincolo contrattuale, stesse obbligazioni di sicurezza, audit. La governance della catena dei sub-responsabili (subprocessor chain) è il fronte più complesso per le piattaforme cloud globali.

Responsabilità diretta del processor

Il responsabile ha responsabilità diretta: per violazioni dell'art. 28 e per istruzioni illecite eseguite (par. 10), risponde direttamente verso interessati (art. 82) e verso il Garante (art. 83). Sanzioni dirette per responsabile fino al 2% del fatturato (art. 83, par. 4) e in casi gravi al 4% (par. 5). La giurisprudenza del Garante ha sanzionato pesantemente cloud provider e processor per data breach, accessi non autorizzati, sub-processing senza autorizzazione. Il responsabile non è più scudato dal titolare.

Regola pratica e checklist operativa

Compliance art. 28: (i) qualificazione corretta del ruolo; (ii) due-diligence prima di affidare il trattamento; (iii) contratto DPA con tutte le clausole obbligatorie; (iv) gestione sub-processor list; (v) audit periodici; (vi) per trasferimenti extra-UE, SCC + TIA; (vii) integrazione nel registro art. 30. Le grandi piattaforme cloud hanno DPA standard, da adattare alle peculiarità.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.