Con il GDPR, la disciplina della tutela dei dati ha imposto alle Aziende di rivedere il proprio approccio alla gestione dei dati, coniugandolo alle esigenze di business.
Ed è proprio il business che spesso spinge le imprese a coinvolgere una serie di soggetti esterni che necessariamente sono implicati nella realizzazione del trattamento.
Capita frequentemente, soprattutto nel caso di alcune categorie professionali, che il Titolare dei dati si affidi a figure esterne.
Questo tipo di struttura, così segmentata e che coinvolge più soggetti terzi, ha spinto il legislatore a definire la differenza tra il Titolare del Trattamento dei dati e la figura del Responsabile del trattamento, implicando anche la possibilità da parte del Responsabile del Trattamento di individuare una terza figura definita Sub-Responsabile.
Il coinvolgimento del Sub-Responsabile deve sempre esser autorizzato dal Titolare del trattamento che, gerarchicamente, si trova in posizione di sovra ordinazione rispetto al Responsabile del Trattamento e al Sub-Responsabile.
Il rapporto tra questi diversi soggetti coinvolti nelle attività di trattamento implica che il Sub-Responsabile abbia gli stessi obblighi in materia di protezione dei dati che il Responsabile del Trattamento ha verso il Titolare del trattamento.
Il Sub-responsabile, se da un lato è formalmente ingaggiato in maniera diretta dal Responsabile, dall’altro deve rispettare le direttive impartite dal Titolare nei cui confronti si trova in rapporto di subordinazione.
Ciò comporta che il Titolare dovrà non solo ritenere affidabile la figura terza individuata (Responsabile del Trattamento) che dovrà necessariamente avere conoscenza specialistica, affidabilità e risorse, ma dovrà anche adottare una serie di misure tali da garantire la tutela dei dati trattati da ulteriori figure.
Il rapporto tra Responsabile e Sub-Responsabile è formalizzato da un contratto che avrà le stesse indicazioni riportate all’interno del contratto che regola il rapporto tra Titolare e Responsabile del trattamento.
Il Titolare dei dati, infatti, dovrà accertarsi che il contenuto dei contratti tra Responsabile e Sub-responsabile rispondano a quanto previsto dalla normativa e, in particolare, che prevedano misure tecniche ed organizzative adeguate alla realizzazione degli impegni assunti.
È certo che una possibile segmentazione contrattuale impone a tutte le organizzazioni con servizi in outsourcing, sia come Titolari sia come Responsabili, da un lato di avere una struttura aziendale, processi operativi e organizzativi conformi al GDPR e, dall’altro, di delineare formule contrattuali il più possibile standardizzate nel rispetto della normativa.