Le Autorità per la Protezione de Dati francese e spagnola hanno pubblicato due guide per i Responsabili del trattamento, più precisamente e rispettivamente “Règlement européen sur la protection des données : un guide pour accompagner les sous-traitants” e “Directrices para contratos responsable – encargado”. Inoltre L’Autorità Inglese (ICO) ha pubblicato una bozza di guida sui contratti tra Titolare e Responsabile.
Questi fatti hanno un effetto positivo su coloro che si preparano ad essere conformi con il GDPR per le seguenti ragioni:
- Il GDPR ha migliorato la protezione offerta dalla direttiva 46/95 prevedendo esplicitamente degli obblighi per i Responsabili, ma è principalmente indirizzata ai Titolari, mentre il ruolo del Responsabile è trattato in pochi articoli (principalmente nell’articolo 28). La stessa definizione di Responsabile fa riferimento al Titolare. “«responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”
- Non è banale determinare se l’esternalizzazione di un servizio ricada o meno nella definizione di Responsabile del trattamento. L’opinione del WP art. 29 Opinion 1/2010 on the concepts of “controller” and “processor” rimane un riferimento
- Le appendici alle guide offrono un esempio autorevole delle clausole contrattuali per l’accordo tra il Titolare e il Responsabile: questi costituiscono un’informazione preziosa per le organizzazioni nel loro sforzo di prepararsi per la scadenza di Maggio 2018: rivisitare tutti i contratti (attivi e passivi) richiede tempo sia per il Titolare sia per il Responsabile. Spesso un’azienda di servizi ha il doppio ruolo, specialmente nell’ambiente Cloud.
In allegato riporto la mia traduzione in Italiano dell’Allegato al documento del CNIL
Un’altra fonte è costituita dall’esempio di clausole contrattuali dell’ International Regulatory Strategy Group