L’EDPB ha adottato un parere su alcuni obblighi derivanti dall’affidamento del trattamento di dati personali, da parte di responsabili del trattamento, ad altri responsabili incaricati e sub incaricati (ovvero la c.d. privacy supply chain).
In particolare, il parere affronta diverse questioni sull’interpretazione di alcuni obblighi dei responsabili del trattamento che si affidano a incaricati del trattamento e sub responsabili, nonché sulla formulazione dei contratti tra responsabile del trattamento e incaricato del trattamento, derivanti in particolare dall’art. 28 del GDPR.
In base al parere EDPB sulla miglior gestione e controllo della privacy supply chain, in sintesi:
- i responsabili del trattamento dovrebbero avere sempre a disposizione le informazioni sull’identità (ossia nome, indirizzo, persona da contattare) di tutti gli incaricati del trattamento e sub responsabili, in modo da poter adempiere al meglio agli obblighi previsti dall’art. 28 GDPR
- l’obbligo del responsabile del trattamento di verificare se i sub responsabili del trattamento presentano “garanzie sufficienti” dovrebbe applicarsi indipendentemente dal rischio per i diritti e le libertà degli interessati, sebbene l’entità di tale verifica possa variare, in particolare sulla base dei rischi associati al trattamento
- sebbene l’incaricato del trattamento iniziale debba assicurarsi di proporre sub responsabili con garanzie sufficienti, la decisione finale e la responsabilità di incaricare uno specifico sub incaricato, restano al responsabile del trattamento
- il responsabile del trattamento non ha l’obbligo di richiedere sistematicamente i contratti di sub – trattamento, per verificare se gli obblighi di protezione dei dati siano stati trasferiti lungo la catena di trattamento: dovrebbe valutare se richiederli, al fine di esaminarli, qualora ciò sia necessario per poter dimostrare la conformità al GDPR
- quando i trasferimenti di dati personali al di fuori dello Spazio economico europeo avvengono tra due sub responsabili del trattamento, l’incaricato del trattamento, in qualità di “esportatore” di dati, deve preparare la documentazione pertinente (relativa al motivo del trasferimento utilizzato, alla valutazione dell’impatto del trasferimento e alle eventuali misure supplementari): tuttavia, poiché il responsabile del trattamento è ancora soggetto ai doveri derivanti dall’art. 28 par. 1 del GDPR in materia di “trasferimento di dati”, oltre a quelli previsti dall’art. 44, per garantire che il livello di protezione dei dati non sia compromesso dai vari trasferimenti, deve altresì valutare questa documentazione ed essere in grado di mostrarla all’autorità competente per la protezione dei dati.