La gestione dei fornitori da parte del Responsabile del trattamento dei dati personali costituisce una delle sfide più complesse e delicate nell’ambito della protezione dei dati personali e della tenuta in sicurezza dei sistemi informativi. Recenti provvedimenti dell’Autorità Garante Privacy hanno sottolineato i rischi derivanti da una scarsa attenzione a questa tematica, mettendo in luce sia implicazioni in termini di conformità normativa sia potenziali conseguenze sulla tutela dei diritti degli interessati.
Indice degli argomenti
Il provvedimento Garante sulla Regione Lazio: un caso emblematico
Il Provvedimento dell’Autorità Garante n. 326 del 4 giugno 2025 ha posto l’accento sull’omissione, da parte della Regione Lazio, della nomina formale di Laziocrea quale sub-responsabile dei dati personali. Nell’ambito della rilevazione statistica “Movimento dei clienti negli esercizi ricettivi – IST-00139”, di cui ISTAT era Titolare del trattamento e la Regione Lazio il Responsabile del trattamento stesso.
La Regione aveva già designato Laziocrea, società software “in house”, Responsabile del trattamento, ma non aveva proceduto a nominare formalmente tale Società anche Sub-responsabile relativamente alle attività di trattamento che questa aveva avuto il mandato di svolgere. Inoltre la Regione non aveva neppure informato ISTAT, Titolare del trattamento, dell’affidamento delle attività oggetto del contratto a Laziocrea. Questo caso evidenzia come la corretta nomina e comunicazione dei sub responsabili al titolare sia un requisito fondamentale per la gestione conforme dei dati personali.
Data Protection Agreement: requisiti e contenuti essenziali
L’articolo 28 del Regolamento UE 2016/679 impone, come noto, al titolare che intenda far svolgere ad un diverso soggetto talune attività di trattamento di ricorrere unicamente coloro che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti di legge e garantisca la tutela dei diritti dell’interessato.
Istruzioni e autorizzazioni per il ricorso ai sub responsabili
Ciò presuppone però la previa stipula di un atto di designazione o un accordo tra Titolare e Responsabile per il trattamento dei dati personali, comunemente denominato “Atto di nomina” o “Data Protection Agreement” (di seguito Atto). In tale Atto, che deve essere stipulato in forma scritta, anche in formato elettronico, il Titolare individua le misure di sicurezza che il Responsabile deve adottare, andando in dettaglio e indicare “..la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.
In particolare con l’Atto il titolare deve fornire al Responsabile del trattamento le istruzioni documentate sulle modalità consentite del trattamento e sulle misure di sicurezza che il Responsabile deve assicurare. Tra le istruzioni impartite dal Titolare nell’atto devono essere riportate anche le indicazioni da rispettare per ricorrere a un altro responsabile del trattamento, il c.d. Sub responsabile del trattamento, facoltà che non può lecitamente configurarsi senza previa autorizzazione scritta, specifica o generale, del Titolare.
La catena del trattamento e il principio di accountability
È essenziale che sia definito nel contratto se la nomina di ulteriori responsabili da parte del Responsabile sia autorizzata preventivamente, prevedendo una semplice comunicazione al Titolare o se necessiti di esplicita autorizzazione da parte del Titolare per ciascun sub responsabile.
Inoltre, va chiarito se i sub responsabili possano a loro volta affidare parte del trattamento ad altri soggetti e con quali modalità. Il titolare del trattamento quindi deve essere pienamente consapevole della c.d. “catena del trattamento“, quindi il Responsabile gli deve rappresentare in modo trasparente chi effettivamente siano tutti coloro che trattano i dati personali dei quali risponde ai sensi degli articoli 4, paragrafo 1, punto 7) e 24 del Regolamento UE 2016/679 GDPR. Le centralità della consapevolezza da parte del titolare del trattamento in ordine all’identità e quantità di sub-responsabili coinvolti nelle attività, affinché questi, in omaggio al principio di accountability, di cui all’articolo 5, paragrafo 2 del Regolamento, possa concretamente decidere sulle finalità e mezzi del trattamento durante tutta la sua durata, è ulteriormente ribadita dal Comitato europeo per la protezione dei dati nella “Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s)”.
Il Responsabile non deve solo informare il Titolare di aver a sua volta affidato parte delle attività conferite ad un soggetto terzo ma deve vigilare sul corretto operato da parte di quest’ultimo, visto che ne rimane responsabile dell’agire, perché conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.
Case di cura convenzionate: una filiera di responsabilità complessa
Un esempio emblematico delle problematiche legate alla “catena del trattamento” è quello relativo alle Case di Cura convenzionate con la propria ASL di appartenenza. In questo scenario, la ASL riveste il ruolo di Titolare del trattamento e la Casa di Cura quello di Responsabile. La Casa di Cura, oltre a ricevere la designazione a Responsabile o a stipulare un relativo Data Protection Agreement con la ASL, deve sottoscrivere analoghi accordi con tutti i propri fornitori che trattano dati personali nell’ambito del contratto.
Tali fornitori possono comprendere ad esempio Società di software per la gestione delle attività (CUP, laboratorio di analisi, cartelle cliniche, ecc.), fornitori di sistemi diagnostici e cooperative di personale. Questi soggetti, pur agendo come Responsabili per la Casa di Cura, diventano quindi sub responsabili del trattamento rispetto alla ASL.
Obblighi contrattuali e distinzione tra regimi pubblico e privato
Prima di affidare parte delle attività contrattuali a terzi, la Casa di Cura deve verificare se il contratto con la ASL lo consente e in quali termini, imponendo ai fornitori obblighi di protezione dei dati equivalenti e comunque non inferiori a quelli previsti tra Titolare e Responsabile.
È necessario inoltre che la Casa di Cura distingua chiaramente tra le attività svolte in convenzione con la ASL, per le quali la Casa di Cura è Responsabile del trattamento, e prestazioni effettuate in regime privato, dove la Casa di Cura assume il ruolo di Titolare.
Di conseguenza, i fornitori possono assumere ruoli diversi a seconda del regime in cui viene effettuato il trattamento: Responsabili in caso di trattamenti privati, sub responsabili per i trattamenti convenzionati. Queste distinzioni devono essere esplicitate nel Data Protection Agreement con il fornitore, definendo i livelli di responsabilità e le misure di sicurezza tecniche ed organizzative da osservare, particolarmente rilevanti in caso di data breach.
Misure di sicurezza per responsabili e sub responsabili
Altro impegno rilevante per i soggetti che svolgono il ruolo di Responsabile e di Sub responsabile del trattamento è quello, prescritto dall’articolo 32 del succitato Regolamento di adottare, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio, misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.
Tale onere infatti non ricade esclusivamente sul Titolare ma anche su tutti i soggetti che compongono la “catena del trattamento”.
Il registro delle attività: contenuti e modalità di tenuta
Ma non basta, al Responsabile ed al Sub responsabile del trattamento spetta anche l’onere di adottare un proprio Registro delle attività di trattamento, previsto dal paragrafo 2 dell’art. 30 del Regolamento Ue 2016/679, che deve essere messo a disposizione dell’autorità di controllo, l’Autorità Garante Privacy. Analogamente, il sub responsabile deve annotare nel proprio registro le informazioni relative all’attività svolta per conto del Responsabile, specificando tipo di trattamento, durata, misure di sicurezza adottate e luogo di esecuzione. In questo Registro, che deve essere tenuto in forma scritta, anche in formato elettronico, per tutte le attività relative al trattamento svolte per conto di un Titolare del trattamento anche su mandato di un Responsabile, devono essere riportati:
- il nome e i dati di contatto del Responsabile, del Titolare del trattamento per conto del quale e, ove applicabile, del responsabile della protezione dei dati (RPD o DPO) e di eventuali ulteriori Sub responsabili del trattamento;
- le attività di trattamento svolte per conto del Titolare del trattamento;
- le misure di sicurezza tecniche e organizzative imposte dal Titolare e le altre ulteriori adottate;
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate.
Trasferimenti extra UE e rischi del cloud computing
In particolare, se il trattamento avviene fuori dallo Spazio Economico Europeo, è necessario ottenere preventiva autorizzazione e adottare misure di sicurezza rafforzate.
Oggi il trattamento dei dati fuori dal SEE è più frequente di quanto venga documentato, in quanto è sempre più diffuso l’utilizzo del cloud, specialmente tramite App, che spesso prevedono la gestione dei dati in server farm ubicate in Paesi extra europei, che offrono condizioni economiche vantaggiose.
È necessario porre attenzione a queste situazioni, che se non governate opportunamente portano a perdere il controllo dei dati da parte del Titolare del trattamento e pongono seri rischi per la sicurezza dei dati.
Selezione fornitori e monitoraggio continuo della conformità
Come già evidenziato, il Responsabile del trattamento mantiene piena responsabilità nei confronti del Titolare per gli obblighi dei Sub responsabili.
La selezione dei fornitori deve pertanto avvenire con grande attenzione per assicurare una gestione sicura e conforme dei dati lungo tutta la supply chain. I fornitori devono essere i destinatari di un apposito atto di nomina o Data Protection Agreement, non avendo ritenuto sufficiente l’Autorità Garante nei suoi diversi Provvedimenti la sottoscrizione con lo stesso del mero contratto di servizio, che spesso non soddisfa le caratteristiche dell’atto giuridico volto a regolamentare il rapporto con il Responsabile, non contenendo gli elementi previsti dall’art. 28 del Regolamento. Nel caso in cui questo poi vada ad assumere anche la qualità di Sub responsabile, previa autorizzazione del Titolare del trattamento, l’atto suindicato non basta, ma è necessario regolare compiutamente tale ulteriore condizione.
Oltre a una attenta selezione e designazione iniziale, il Responsabile deve effettuare periodicamente anche audit per verificare la conformità dei sub responsabili ai requisiti di privacy e sicurezza. Il monitoraggio deve essere continuo; il Titolare può infatti richiedere, in qualsiasi momento, il report dell’ultimo audit e, se previsto dall’accordo, condurre direttamente verifiche presso il fornitore.
Controllo efficace e responsabilità lungo tutta la filiera
Conclusioni
Per garantire un controllo efficace sul ciclo di vita dei dati personali, è indispensabile identificare con precisione i soggetti coinvolti nel trattamento, definire le misure di sicurezza e le condizioni operative lungo tutta la filiera. Una serie di impegni che devono essere portati avanti con correttezza e impegno, anche dei mezzi perciò necessari, da parte di tutti coloro che svolgono le singole e specifiche attività di ogni trattamento di dati personali. Il Titolare deve essere infatti in grado di assicurare, in ogni momento, che l’interessato possa conoscere chi tratta i suoi dati personali, dove e con quali garanzie di tutela della privacy. Ma nel caso in cui non siano rispettate le prescrizioni di legge legate alla corretta gestione della “catena del trattamento”, le responsabilità a ciò conseguenti possono essere addebitate al Responsabile del trattamento, visti gli obblighi, spesso sottovalutati, posti direttamente anche a carico di tale figura, come nel caso del Provvedimento n. 326 del 4 giugno 2025.
