In seguito ad un procedimento istruttorio nei confronti della società titolare e della società responsabile del trattamento, l’Autorità Garante ha appreso che la società responsabile operava sulla base di un contratto per la fornitura di un servizio stipulato con la società titolare senza aver ricevuto l’incarico a Responsabile del trattamento. Oltre a ciò, è da sottolineare che lo specifico ruolo di “responsabile” era specificato all’interno del documento “Termini e Condizioni” del contratto.
Malgrado la presenza dell’indicazione nella sezione “Termini e Condizioni”, il Garante ha riconosciuto che la società responsabile ha effettuato attività di trattamento senza aver adeguatamente definito il rapporto con il cliente/titolare del trattamento e in assenza di specifiche istruzioni predisposte da quest’ultimo. In pratica, ha operato senza aver determinato quanto richiesto nell’art. 28 del RGPD.
In sintesi, un titolare può affidare un trattamento a soggetti esterni solo disciplinandone il rapporto con un contratto o un altro atto giuridico e impartendo le istruzioni in merito alle caratteristiche principali del trattamento, quali, la “natura e la finalità del trattamento”, la “durata del trattamento”, “gli obblighi e i diritti del titolare del trattamento”, le modalità con le quali il responsabile assiste il titolare in relazione all’obbligo di quest’ultimo “di dare seguito alle richieste per l’esercizio dei diritti dell’interessato”, nonché le operazioni da effettuare “dopo che è terminata la prestazione dei servizi relativi al trattamento”. Dunque, il responsabile è legittimato a trattare i dati degli interessati sulla base della disciplina posta da un contratto o altro atto giuridico che lo vincoli al titolare e soltanto su istruzioni documentate (art. 28, par. 3, lett. a del RGPD).
L’Autorità, citando le Linee Guida 7/2020, chiarisce anche che i contratti stipulati prima della data di applicazione del RGPD devono essere aggiornati ai sensi dell’art. 28; l’assenza di tali aggiornamenti, intesi ad allineare contratti anteriori al RGPD, costituisce una violazione di quanto prevede il medesimo Regolamento (v. anche Cass., Sez. I Civ., ordinanza 23.07.2021, n. 21234).
Pertanto, considerata la mancanza della dovuta designazione a responsabile, e della contestuale indicazione delle caratteristiche dei trattamenti da effettuare all’interno delle istruzioni, i trattamenti di dati nell’ambito della fornitura del servizio svolto sono stati effettuati dalla società in assenza di un idoneo presupposto di liceità.
A conclusione dell’istruttoria, il Garante afferma che, nonostante all’interno del documento “Termini e Condizioni” del contratto stipulato tra il fornitore del servizio e il cliente/titolare la società responsabile avesse chiarito la propria qualificazione in termini di “responsabile”, non risulta che la società stessa abbia richiesto al cliente, prima di avviare il servizio, di provvedere alla nomina prevista contenente gli elementi dell’art. 28 del RGPD, comunicando le necessarie istruzioni relative alle concrete modalità con le quali effettuare il trattamento dei dati; in aggiunta, non sono emersi nemmeno solleciti rivolti al cliente al fine di regolarizzare la situazione.
Per tutti gli elementi di cui sopra, l’Autorità ha dichiarato illecito il trattamento svolto dalla Società responsabile nei confronti del proprio cliente. Il Garante ha pertanto ritenuto necessario dover applicare il paragrafo 3 dell’art. 83 del RGPD, erogando una sanzione amministrativa nei confronti della Società responsabile pari 30.000 euro.
Commenti recenti