Ai sensi dell’art. 28, par. 3, del Regolamento, “i trattamenti da parte di un responsabile del trattamento devono essere disciplinati da un contratto o da altro atto giuridico a norma del 26 diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento, che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”, e che preveda tutti gli impegni previsti dal medesimo art. 28, par. 3, del Regolamento (cfr. cons. 81 del Regolamento).

Il contratto o il diverso atto giuridico devono essere “stipulato in forma scritta, anche in formato elettronico” (art. 28, par. 9, del Regolamento).

Con provvedimento del 22 febbraio 2024 [9990659] il Garante privacy (GPDP) è interventuo nel caso di specie in cui il Comune, in qualità di titolare del trattamento, ha esternalizzato ad Azienda partecipata l’attività di installazione e gestione dei dispositivi di sicurezza e sorveglianza, affidando alla stessa il trattamento delle immagini riprese, senza, tuttavia, previamente stipulare un contratto sulla protezione dei dati ai sensi dell’art. 28 del Regolamento.

 

Successivamente il Comune ha predisposto il contratto sulla protezione dei dati che risulta però sottoscritto unicamente dal Comune stesso senza la sottoscrizione dell’Azienda partecipata che non ha provveduto “per mera dimenticanza”.

 

Il GPDP osserva che, come chiarito dal Comitato europeo per la protezione dei dati, “poiché il regolamento stabilisce con chiarezza l’obbligo di stipulare un contratto scritto, qualora non sia in vigore nessun altro atto giuridico pertinente si ha una violazione del [Regolamento], ovvero dell’“articolo 28, paragrafo 9, del [Regolamento]”. Occorre considerare che “sia il titolare sia il responsabile del trattamento hanno la responsabilità di garantire l’esistenza di un contratto o di un altro atto giuridico che disciplini il trattamento” e che l’autorità di controllo compente “potrà infliggere una sanzione amministrativa pecuniaria sia al titolare sia al responsabile del trattamento” (“Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, par. 103).

 

Viene puntualizzato ulteriormente che laddove sussista “un rapporto titolare-responsabile del trattamento […] anche in assenza di un [valido] accordo di trattamento per iscritto” – in quanto il soggetto che tratta i dati effettua in concreto il trattamento non per proprie finalità ma per conto del soggetto committente, nell’ambito di un’attività da questi esternalizzata e nell’esecuzione di un contratto di servizi o di altro analogo rapporto giuridico in essere tra le parti (cfr. la definizione di “responsabile del trattamento” di cui all’art. 4, par. 1, n. 8, del Regolamento) – “ciò implic[a] […] una violazione dell’articolo 28, paragrafo 3, del [Regolamento]” (ibidem, par. 103).

 

Il contratto sulla protezione dei dati, tardivamente stipulato tra le parti, non è da considerare idoneo a soddisfare i requisiti previsti dalla normativa europea in materia di protezione dei dati nei casi in cui si limiti a riportare pedissequamente le previsioni richieste dall’art. 28, par. 3, del Regolamento, senza fare alcun riferimento allo specifico trattamento di dati personali affidato dal titolare al responsabile e senza che il titolare avesse impartito al responsabile, in sede di contratto sulla protezione dei dati, alcuna specifica istruzione in merito al trattamento, anche con riguardo alle specifiche misure tecniche e organizzative volte a garantire un livello di sicurezza adeguato al rischio, che il responsabile avrebbe dovuto adottare in tale contesto.

 

Il contratto sulla protezione dei dati stipulato tra il titolare e il responsabile “dovrebbe [, invece,] non già meramente ribadire le disposizioni del [Regolamento], bensì prevedere informazioni più specifiche e concrete sul modo in cui saranno soddisfatti i requisiti e sul livello di sicurezza previsto per il trattamento dei dati personali oggetto dell’accordo”. Pertanto, “il contratto tra le parti dovrebbe essere redatto tenendo conto della specifica attività di trattamento dei dati”, disciplinando, in particolare: “l’oggetto del trattamento […] con specifiche sufficienti affinché l’oggetto principale del trattamento sia chiaro”; “la durata del trattamento”; “la natura del trattamento: il tipo di operazioni eseguite nell’ambito del trattamento (ad esempio: «ripresa», «registrazione», «archiviazione di immagini» ecc.) e la finalità del trattamento […]”, fermo restando che, “tale descrizione dovrebbe essere la più completa possibile, a seconda dell’attività di trattamento specifica, in modo da consentire a soggetti esterni (ad esempio le autorità di controllo) di comprendere il contenuto e i rischi del trattamento affidato al relativo responsabile”; “la tipologia di dati personali [, con la precisazione che] questo elemento dovrebbe essere specificato nel modo più dettagliato possibile”; “le categorie di interessati [, con la precisazione che] anche questo aspetto dovrebbe essere indicato in modo piuttosto specifico”.

 

Occorre, a tal riguardo, evidenziare che sul titolare incombe una “responsabilità generale […] per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto”, dovendo il titolare “mettere in atto misure adeguate ed efficaci [e] dimostrare la conformità delle attività di trattamento con il […] Regolamento, compresa l’efficacia delle misure” adottate (cons. 74 del Regolamento), anche qualora si avvalga di un responsabile per lo svolgimento di alcune attività di trattamento, al quale deve impartire specifiche istruzioni, anche sotto il profilo della sicurezza (cons. 79 e 81 e artt. 28, par. 3, lett. c) e 32 del Regolamento). Il titolare rimane, quindi, responsabile dell’attuazione delle misure tecniche e organizzative adeguate e deve garantire ed essere in grado di dimostrare che il trattamento è effettuato in conformità al Regolamento (artt. 5, par. 2, e 24 del Regolamento; cfr. le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, cit., par. 2.1.4, punto 41).

 

The owner of this website has made a commitment to accessibility and inclusion, please report any problems that you encounter using the contact form on this website. This site uses the WP ADA Compliance Check plugin to enhance accessibility.