GDPR: responsabile del trattamento a pagamento?

Risposta di

Noemi Ricci

scritto il

Vittorio chiede
E’ lecito che un fornitore di un software, per il quale il trattamento di dati personali sia parte integrante del funzionamento dello stesso, richieda un compenso per essere nominato responsabile del trattamento?
Noemi Ricci risponde

Secondo l’art. 28 del regolamento UE 2016/679 (GDPR), il responsabile del trattamento deve fornire le “garanzie sufficienti” per mettere in atto le misure tecniche ed organizzative adeguate per garantire la tutela dei diritti dell’interessato. Il titolare deve designare il responsabile iniziale del trattamento, il quale in alcune circostanze e con le dovute formalità, potrà designare altri responsabili del trattamento.

Il responsabile dovrà pertanto allinearsi ai requisiti più stringenti del Regolamento ed impegnarsi a soddisfare il livello di adeguatezza previsto, di fatto mitigando il rischio connesso al trattamento dei dati, o alla quota parte del trattamento dei dati affidatagli dal titolare, da lui effettuato.

Ruolo del fornitore sw

Nella domanda non è ben esplicitato il ruolo del cosiddetto “fornitore di un software”: vi è una notevole differenza tra il caso in cui il “fornitore” realizzi e fornisca un software specifico lasciando poi al titolare l’esercizio dello stesso (si consideri ad esempio un database installato localmente all’interno dell’azienda), e il caso di un fornitore che eroghi al titolare lo stesso servizio software in modalità cloud.

A titolo di esempio, per cercare di dirimere alcune casistiche, nel caso di erogazione di un servizio in cloud, in cui il cloud provider di fatto elabora, memorizza o trasmette le informazioni personali la cui titolarità ricade su un altro soggetto, lo stesso cloud provider costituisce la figura di responsabile del trattamento. Tale aspetto è una prescrizione normativa e pertanto dovrà essere garantito in tutte le sue forme dal fornitore.

Per capire a chi spetti il trattamento dei dati è quindi necessario entrare nel merito della fornitura offerta e nel merito degli accordi contrattuali tra l’azienda e il fornitore, poiché in talune circostanze si rientrerebbe in un rapporto tra titolare e responsabile, nel quale il responsabile dovrebbe spontaneamente, per legge, adempiere agli oneri normativi delGDPR, senza inserire voci extra relative a tale obbligo legislativo (è il caso del servizio offerto in cloud), mentre in altri casi si tratterebbe della mera “compravendita” di un bene, dunque gli adempimenti GDPR spetterebbero all’azienda cliente, che potrebbe decidere “assumere” un responsabile del trattamento esterno.