Nel corso della sua ultima sessione plenaria, il comitato europeo per la protezione dei dati (EDPB) ha adottato un parere su determinati obblighi derivanti dall’affidamento ai responsabili del trattamento e ai sub-responsabili del trattamento.
Il parere è reso a seguito di una richiesta al comitato ai sensi dell’articolo 64, paragrafo 2, GDPR da parte dell’autorità danese per la protezione dei dati. L’articolo 64, paragrafo 2, GDPR prevede che qualsiasi autorità di protezione dei dati possa chiedere al comitato di emettere un parere su questioni di applicazione generale o che producono effetti in più di uno Stato membro.
Il parere riguarda situazioni in cui i titolari del trattamento si affidano a uno o più responsabili del trattamento e sub-responsabili del trattamento. In particolare, affronta otto questioni sull’interpretazione di determinati doveri dei titolari del trattamento che si affidano a responsabili del trattamento e sub-responsabili del trattamento, nonché sulla formulazione dei contratti tra titolare del trattamento e responsabile del trattamento, derivanti in particolare dall’articolo 28 GDPR.
Il parere spiega che i titolari del trattamento dovrebbero avere le informazioni sull’identità (ossia nome, indirizzo, persona di contatto) di tutti i responsabili del trattamento, sub-responsabili del trattamento ecc. prontamente disponibili in ogni momento in modo da poter adempiere al meglio ai loro obblighi ai sensi dell’articolo 28 GDPR. Inoltre, l’obbligo del titolare del trattamento di verificare se i (sub)responsabili del trattamento presentino “garanzie sufficienti” dovrebbe applicarsi indipendentemente dal rischio per i diritti e le libertà degli interessati, sebbene la portata di tale verifica possa variare, in particolare sulla base dei rischi associati al trattamento.
Il parere afferma inoltre che, mentre il responsabile del trattamento iniziale dovrebbe garantire di proporre sub-responsabili del trattamento con garanzie sufficienti, la decisione finale e la responsabilità sull’assunzione di uno specifico sub-responsabile del trattamento spettano al responsabile del trattamento.
L’EDPB ritiene che, ai sensi del GDPR, il titolare del trattamento non abbia il dovere di chiedere sistematicamente ai contratti di subtrattamento di verificare se gli obblighi in materia di protezione dei dati sono stati trasmessi lungo la catena di trattamento. Il titolare del trattamento dovrebbe valutare se la richiesta di una copia di tali contratti o il loro riesame siano necessari per poter dimostrare la conformità al GDPR.
Inoltre, qualora i trasferimenti di dati personali al di fuori dello Spazio economico europeo avvengano tra due (sub)responsabili del trattamento, il responsabile del trattamento in quanto esportatore di dati dovrebbe preparare la documentazione pertinente, ad esempio relativa al motivo del trasferimento utilizzato, alla valutazione d’impatto del trasferimento e alle eventuali misure supplementari. Tuttavia, poiché il titolare del trattamento è ancora soggetto agli obblighi derivanti dall’articolo 28, paragrafo 1, GDPR in materia di “garanzie sufficienti”, oltre a quelli di cui all’articolo 44 per garantire che il livello di protezione non sia compromesso dai trasferimenti di dati personali, dovrebbe valutare tale documentazione ed essere in grado di mostrarla all’autorità di protezione dei dati competente.
