Il Garante danese ha richiesto al Comitato Europeo per la Protezione dei Dati (EDPB) di fornire un’opinione sugli obblighi derivanti dall’Articolo 28, in combinazione con il Capitolo V del GDPR (Parere 22/2024).
L’attenzione è rivolta ai doveri dei titolari che si affidano a responsabili e sub-responsabili del trattamento [di seguito collettivamente indicati “(sub-)responsabili”], con particolare riferimento su:
- necessità di mantenere informazioni aggiornate sull’identità di tutti i (sub-)responsabili
- garantire la protezione dei dati durante i trasferimenti, specialmente se avvengono al di fuori dei confini dell’Unione Europea.
Nella puntata odierna esamineremo le difficoltà operative per raggiungere la conformità nella gestione delle terze parti della catena di trattamento, in particolare la mappatura degli attori e la verifica delle garanzie fornite dai (sub-)responsabili, cioè, responsabili e sub-responsabili.
In una successiva tornata, commenteremo le considerazioni dell’EDPB in merito alle prescrizioni di legge riguardo alla catena del trattamento, ai trasferimenti di dati verso paesi terzi e alle implicazioni relative al contratto di trattamento dati, o altro atto giuridico equivalente, come prescritto dall’articolo 28 del regolamento.
Difficoltà operative di conformità
La gestione della catena del trattamento è cruciale, poiché le aziende, specialmente quelle medio-grandi, spesso affrontano difficoltà nel rispettare i requisiti del GDPR.
Tuttavia, – come sottolineato dall’EDPB nel parere richiamato – «le difficoltà pratiche invocate dai titolari del trattamento riguardo al controllo sull’impiego dei sub-responsabili da parte del loro responsabile – che possono rendere difficile per loro verificare le “garanzie sufficienti”, specialmente per quanto riguarda i trasferimenti verso paesi terzi – non esonerano il titolare dalle sue responsabilità nel trattamento» (parere cit., par. 86).
L’osservazione dell’EDPB, in effetti, riguarda l’intera gestione della catena di trattamento dei dati: dall’identificazione e raccolta dei dati di contatto dei (sub-)responsabili, alla verifica del rispetto delle istruzioni e garanzie fornite, fino al controllo dei trasferimenti extra-UE, inclusi quelli successivi a quello iniziale.
Si discute dello scarso realismo del mondo ideale proposto dall’EDPB e delle difficoltà pratiche per le aziende nel conformarsi a queste normative. Analizziamo quindi le critiche mosse a queste prescrizioni.
Continua…