Glielaboratori di dati svolgono un ruolo fondamentale nell'economia digitale. Tutte le organizzazioni si affidano ai responsabili del trattamento dei dati in un modo o nell'altro: e-mail, servizi cloud e pagamenti elettronici sarebbero del tutto impossibili senza di loro.
In questo articolo spiegheremo esattamente cosa sono un responsabile del trattamento dei dati e un accordo sul trattamento dei dati e cosa deve contenere un accordo sul trattamento dei dati.
- Cosa sono i responsabili e gli incaricati del trattamento?
- Che cos'è un accordo di trattamento dei dati?
- Perché avete bisogno di un accordo sul trattamento dei dati?
- Una volta firmato un DPA, posso divulgare i dati?
- La mia divulgazione di dati è conforme al GDPR?
- Sono esente da responsabilità dopo aver firmato un DPA?
- Conclusioni
Immergiamoci!
Cosa sono i responsabili e gli incaricati del trattamento?
I termini "responsabile del trattamento" e "incaricato del trattamento" sono concetti molto importanti nel GDPR e nella legge sulla privacy. In realtà, nozioni simili esistono in molte leggi sulla privacy diverse dal GDPR, come il California Online Privacy Protection Act del 2003 (CalOPPA) e accordi simili.
Ai sensi del GDPR, un responsabile del trattamento decide quali dati personali vengono trattati, come vengono trattati e per quale scopo. In altre parole, è lui a decidere. D'altro canto, un incaricato del trattamento tratta i dati per conto del responsabile del trattamento e secondo le sue istruzioni. È anche possibile che un incaricato del trattamento tratti i dati per conto di un altro incaricato del trattamento, detto subincaricato.
Ad esempio, la maggior parte dei servizi di analisi web utilizza i dati dei visitatori solo per fornire ai propri clienti informazioni utili. In questo caso, il cliente è un responsabile del trattamento perché decide quali dati raccogliere e analizzare e per quale scopo. D'altro canto, il fornitore di analisi è un elaboratore. Il fornitore di analisi spesso si affida a sottoprocessori per l'archiviazione dei dati, la distribuzione dei contenuti e così via.
Sembra abbastanza semplice, ma non lo è affatto. Esiste un'area grigia tra controllership e processorship, che rende alcuni scenari difficili da classificare.
Per complicare le cose, il GDPR prevede anche la possibilità di un controllo congiunto. Si parla di contitolarità quando due o più responsabili del trattamento trattano gli stessi dati perseguendo i propri obiettivi. I corresponsabili del trattamento si accordano sulle modalità di condivisione di alcune responsabilità, ma non accettano istruzioni l'uno dall'altro.
Ecco un esempio. Supponiamo che un'azienda decida di affidarsi ai servizi di una società di intelligenza artificiale per effettuare ricerche di mercato basate sui dati personali dei clienti. L'azienda di IA utilizza i dati per due scopi distinti: la ricerca di mercato e l'addestramento del suo modello di IA per migliorare ulteriormente le sue prestazioni. In questo caso, le due aziende sono controllori congiunti, in quanto entrambe svolgono un ruolo nel trattamento dei dati pur perseguendo i propri obiettivi.
Google Analytics è un altro esempio. Il ruolo di Google nella fornitura del servizio dipende dalle impostazioni scelte dal cliente (cioè il proprietario del sito web che utilizza Google Analytics). Se l'impostazione di condivisione dei dati è disattivata, Google agisce come un elaboratore di dati e utilizza i dati raccolti da Google Analytics solo per fornire al cliente le analisi.
Se invece la condivisione dei dati è attivata dal cliente, Google utilizza i dati anche per migliorare altri servizi dell'ecosistema Google. In questo caso, Google decide cosa fare con i dati ed è un controllore comune insieme al cliente.
È necessario sottolineare altri due aspetti. In primo luogo, le nozioni di responsabile del trattamento e di incaricato del trattamento hanno senso solo se riferite a dati personali. Non si può essere responsabili o incaricati del trattamento di dati non personali perché il GDPR non si applica a tali dati.
In secondo luogo, responsabile e incaricato del trattamento sono nozioni sostanziali. In altre parole, dipendono interamente da ciò che fate con i dati e non da come vi chiamate nel vostro DPA, nei termini di servizio e così via. Se vi comportate come un responsabile del trattamento, i tribunali vi tratteranno come un responsabile del trattamento, indipendentemente da ciò che dicono i vostri documenti legali.
Che cos'è un accordo di trattamento dei dati?
Il GDPR consente di affidarsi a un incaricato del trattamento solo quando un contratto regola alcuni aspetti del trattamento dei dati. Questo contratto si chiama accordo di trattamento dei dati o DPA (da non confondere con le autorità di protezione dei dati, anch'esse abbreviate in DPA).
Un DPA valido deve includere alcune clausole. L'incaricato del trattamento
- deve seguire le istruzioni del responsabile del trattamento e non può trattare i dati per scopi propri
- deve trattare i dati in modo sicuro
- deve garantire che tutto il personale coinvolto nel trattamento sia soggetto all'obbligo di riservatezza
- quando possibile, deve assistere il responsabile del trattamento nel rispondere alle richieste previste dal GDPR (come le richieste di accesso o di cancellazione)
- deve cancellare o restituire i dati personali non appena il servizio termina
- deve aiutare il responsabile del trattamento ad adempiere a determinati obblighi previsti dal GDPR, tra cui la notifica delle violazioni dei dati e l'esecuzione di valutazioni d'impatto sul trattamento dei dati (DPIA)
- deve essere disponibile per la verifica da parte del responsabile del trattamento.
Un DPA è necessario anche quando un incaricato del trattamento assume un subincaricato. In questo caso, l'incaricato ha bisogno di un'autorizzazione scritta da parte del responsabile del trattamento e il DPA con il subincaricato deve mantenere tutti gli obblighi di protezione dei dati inclusi nel DPA originale con il responsabile del trattamento. In altre parole, le protezioni della privacy non possono essere diluite a posteriori.
Sono molte cose da ricordare, ma non preoccupatevi: probabilmente non dovrete scrivere nulla di tutto ciò. Le aziende che agiscono come elaboratori come parte integrante della loro attività hanno in genere DPA standard per i clienti.
Detto questo, se avete un'idea generale di cosa dovrebbe contenere un DPA, potete sfogliarne uno e assicurarvi che tutto sia a posto (e, naturalmente, potete sempre controllare l'articolo 28(3) del GDPR per rinfrescarvi la memoria).
Perché avete bisogno di un accordo sul trattamento dei dati?
Tutto ciò va bene, ma perché il GDPR richiede un DPA?
I responsabili del trattamento hanno degli obblighi ai sensi del GDPR. Devono trattare i dati in modo lecito, equo e trasparente, garantire la sicurezza, rispondere alle richieste di accesso, notificare le violazioni dei dati e così via. Tutti questi obblighi mirano a garantire determinati standard di protezione dei dati.
Le autorità di protezione dei dati proteggono questi standard quando viene coinvolto un incaricato o un sub-incaricato del trattamento dei dati. Svolgono un ruolo importante nella privacy perché le catene di valore del trattamento dei dati possono essere molto lunghe e complesse.
In poche parole, le DPA non sono solo fastidiose scartoffie legali: proteggono i vostri dati.
Inoltre, un DPA ben scritto è utile alle parti stesse, che possono farvi riferimento per sapere esattamente come sono ripartite le responsabilità del trattamento dei dati.
Una volta firmato un DPA, posso divulgare i dati?
Ai sensi del GDPR, tutti i trattamenti di dati personali devono rispettare determinate regole. Questo vale anche per la divulgazione dei dati personali a un incaricato del trattamento. Pertanto, la firma di un DPA non garantisce la possibilità di divulgare legalmente i dati.
Per esempio, dovete avere una base legale per il trattamento dei dati (ne abbiamo parlato qui), fornire informazioni trasparenti, assicurarvi di affidarvi alle giuste garanzie per qualsiasi trasferimento di dati al di fuori dell'UE e rispettare il principio della minimizzazione dei dati (ovvero, prendere solo i dati di cui avete realmente bisogno e trattarli nel modo meno invasivo possibile).
Questi sono solo alcuni dei criteri che, insieme, determinano se una divulgazione di dati personali è consentita ai sensi del GDPR. Se siete il responsabile del trattamento dei dati, la responsabilità di garantire la conformità è vostra. La firma di una DPIA non significa automaticamente che la vostra divulgazione di dati personali sia conforme a tutti i criteri: dovete guardare le cose da una prospettiva più ampia.
La mia divulgazione di dati è conforme al GDPR?
Come abbiamo detto, una DPIA valida è solo una delle tante caselle da spuntare. Quali sono quindi le altre?
Una lista di controllo sarebbe poco utile in questo caso. La maggior parte delle regole che si applicano alla divulgazione dei dati sono regole generali che si applicano a qualsiasi trattamento di dati personali, che si tratti di raccolta, conservazione o anche cancellazione. L'elenco è davvero lungo, perché si tratta quasi dell'intero GDPR,
Se volete assicurarvi che la comunicazione dei dati al vostro incaricato del trattamento sia conforme al GDPR, è meglio partire dalle basi. L'articolo 5 del GDPR elenca tutti i principi fondamentali del GDPR. L'articolo è molto più prezioso di qualsiasi lista di controllo della conformità che potremmo sviluppare, perché offre uno sguardo al significato del GDPR.
Una volta compresi i principi generali, è possibile esaminare la divulgazione dei dati e iniziare a porsi le domande giuste. Ad esempio:
- Ho davvero bisogno di divulgare i dati a un incaricato del trattamento?
- Sto divulgando solo i dati di cui il mio elaboratore ha realmente bisogno per svolgere il suo lavoro?
- Il mio elaboratore cancellerà i dati dopo un tempo ragionevole?
- So cosa rende lecita la divulgazione? Se qualcuno me lo chiedesse, sarei in grado di spiegarlo?
Non dimenticate di considerare la divulgazione anche dal punto di vista degli interessati, cioè delle persone a cui i dati si riferiscono. Gli interessati possono essere i vostri clienti, i visitatori del sito web o altre persone che non hanno alcun rapporto con voi, ad esempio le persone i cui dati personali vengono utilizzati per addestrare un modello di intelligenza artificiale.
(A proposito, le IA sollevano problemi di privacy molto seri. Se state addestrando un modello di IA su dati personali, coinvolgete professionisti della privacy fin dalla fase di progettazione).
Gli interessati hanno diritto all'informazione. Avete preso provvedimenti per informare gli interessati del coinvolgimento del vostro elaboratore? Avete fornito queste informazioni in modo chiaro e accessibile?
Gli interessati possono anche esercitare diritti specifici ai sensi del GDPR. Ad esempio, possono richiedere al responsabile del trattamento di correggere o cancellare i loro dati personali o di fornire loro l'accesso agli stessi.
Cosa succede se un interessato esercita uno di questi diritti? Potete soddisfare la richiesta in modo autonomo o il vostro incaricato del trattamento deve essere coinvolto? Il vostro elaboratore è davvero in grado e disposto ad aiutarvi a soddisfare tali richieste, indipendentemente da ciò che dice la vostra DPA?
Queste sono alcune delle domande che dovreste porvi quando affrontate il problema dal punto di vista dell'interessato. È facile concentrarsi sulla posizione della propria organizzazione e perdere di vista l'intero quadro. Ma dietro ai dati ci sono delle persone, e per rispettare la legge sulla privacy dovete mettervi nei loro panni.
Sono esente da responsabilità dopo aver firmato un DPA?
No. La firma di un DPA non vi rende esenti da responsabilità. Per questo motivo è fondamentale affidarsi a elaboratori fidati e conformi al GDPR.
Ciò non significa che sarete necessariamente ritenuti responsabili se qualcosa va storto. Tuttavia, ai sensi del GDPR, esiste una sorta di presunzione per cui se qualcosa va storto dal punto di vista della privacy, la colpa è del responsabile del trattamento. Potete evitare la responsabilità dimostrando di non essere responsabili dell'incidente, ma l'onere della prova è interamente a vostro carico, il che è rischioso.
Per questo motivo le grandi organizzazioni valutano accuratamente la conformità dei propri elaboratori e documentano la valutazione. Questa valutazione documentata si chiama valutazione del rischio del fornitore e ha due scopi. In primo luogo, consente al responsabile del trattamento di garantire l'affidabilità dell'elaboratore. In secondo luogo, se qualcosa va storto, una valutazione del rischio del fornitore ben scritta può aiutare il responsabile del trattamento a dimostrare di aver svolto i propri compiti di conformità.
La maggior parte delle piccole imprese non dispone delle risorse e delle competenze necessarie per condurre una valutazione del rischio del fornitore. Tuttavia, possono comunque trarre vantaggio dalla ricerca dei propri processori e dall'accertarsi che abbiano una buona reputazione in termini di conformità.
Conclusioni
La privacy non consiste nello spuntare le caselle di una lista di controllo della conformità. Si tratta di comprendere le ragioni che stanno alla base delle regole e di preoccuparsi delle persone che stanno dietro ai dati.
Noi di Simple Analytics teniamo alla privacy. E, a differenza di altre aziende, lo pensiamo davvero. La privacy è la pietra miliare di Simple Analytics e non una semplice vernice. Abbiamo costruito il nostro software per fornire alle aziende tutti gli approfondimenti necessari per ottimizzare i loro siti web e le loro campagne senza utilizzare i dati personali dei visitatori. Se vi sembra una buona idea, non esitate a provarci!