Cerca un Professionista Cerca un Argomento
Cerca un professionista per Categoria / Regione
Cerca un Professionista Cerca un Argomento
Cerca un professionista per Categoria / Regione
Richiedi la prima consulenza oggi
La Rubrica informativa di ProntoProfessionista.it, comprende spazi a pagamento degli autori

Diritto dell`informatica

Il subappalto responsabile esterno trattatamento

Quali gli obblighi per il titolare del trattamento e quali quelli del responsabile nell'ambito del subappalto? I provvedimenti del Garante Privacy

Il subappalto responsabile esterno trattatamento - Quali gli obblighi per il titolare del trattamento e quali quelli del responsabile nell'ambito del subappalto? I provvedimenti del Garante Privacy

Nel mercato ICT, data la necessità di soggetti sempre più specializzati, ormai da tempo si sta assistendo ad un ricorso massiccio alla figura dell’appalto o, come oggi si preferisce chiamarlo, dell’outsourcing

Tale fenomeno ha comportato un’immediata ricaduta in termini di corretta gestione e trattamento delle informazione sotto il profilo della tutela dei dati personali. 

In tema di appalto il Garante Privacy è spesso intervenuto con propri provvedimenti precisando e sottolineando che in presenza di un contratto di outsourcing. Spesso si parla in questo caso di nomina del responsabile esterno al trattamento. I provvedimenti in tale ambito sono molti come anche le pronunce emesse a seguito dell’attività ispettiva del Nucleo Speciale Privacy della Guardia di Finanza 

Particolari questoni presenta il subappalto. Sotto il profilo del trattamento dei dati personali, infatti, il subappalto comporta notevoli problemi che, nella pratica quotidiana, spesso inducono le aziende a compiere scelte che possono anche risultare rischiose. 

Il problema in ottica privacy è caprire quale sia il ruolo del subappaltatore quando venga a trattare dati personali riconducibili al committente (dipendenti, fornitori, partner commerciali, clienti, ecc.). 

Per il codice privacy all’art. 29 il titolare del trattamento (il committente) ha il potere di nominare un responsabile del trattamento (cioè l’appaltatore), vietando che a sua volta questi possa nominare un altro responsabile del trattamento (il subappaltatore). 

Nella pratica si assiste all’adozione delle soluzioni più disparate: sia il caso in cui si evita qualsiasi nomina, sia l’ipotesi in cui il committente che procede a nominare tutti i soggetti con cui viene in contatto (quindi sia l’appaltatore che il subappaltatore) come responsabili (esterni) al trattamento. 

Sebbene in presenza di un subappalto non nasce alcun vincolo contrattuale tra committente e subappaltatore, tuttavia un formale atto di nomina [a responsabile esterno del trattamento] mette inevitabilmente in relazione i due soggetti: da una parte il subappaltatore assumerebbe direttamente nei confronti del committente delle responsabilità che invece non gli sono proprie dovendo essere individuate in capo all’appaltatore; dall’altra il committente si troverebbe quanto meno a dover affrontare oneri aggiuntivi e vincoli contrattuali qualora l’appaltatore non rispetti i propri impegni nei confronti del subappaltatore. 

 

Il Garante tuttavia ha già da tempo chiarito con un provvedimento del 2012 (doc. web n. 2276103) che il responsabile esterno al trattamento, nominato dal committente, deve essere identificato soltanto nell’appaltatore. Sarà preoccupazione di quest’ultimo stringere gli opportuni accordi con il subappaltatore trasferendo sullo stesso, in ragione e nei limiti del suo operato, le responsabilità inerenti al suo ruolo. Il Garante sostanzialmente contrattualizza la figura del responsabile esterno al trattamento, suggerendo di trasferire in un accordo quegli obblighi che il d.lgs 196/203 pone a carico appunto del processor. 

Schematizzando: il committente nominerebbe quale responsabile esterno al trattamento dei dati personali l’appaltatore; quest’ultimo, anziché mediante un’ulteriore nomina (perché come detto, ciò è vietato dalla norma), obbligherà, nell’ambito del contratto di subappalto, il subappaltatore a rispettare i medesimi vincoli cui l’appaltatore è soggetto in ragione della nomina ricevuta. 

E’ bene anche precisare che sulla base della ricostruzione suggerita dal Garante e sopra nel caso in cui il subappaltatore ponga in essere comportamenti illeciti riconducili gli obblighi del responsabili esterno del trattamento allo stesso riconducibile e cioè l’appaltatore suo committente, quest’ultimo, in linea di principio e salvo ulteriori comportamenti non conformi alla legge, non potrà che agire a propria tutela nei confronti del solo appaltatore il quale a sua volta agirà in rivalsa (o chiamerà in manleva) il subappaltatore autore dell’illecito. 

A conclusione di questo articolo vale la pena sottolineare che l’art. 22 della bozza di regolamento generale sulla protezione dei dati, che si prevede venga approvata nel corso del 2016, sembrerebbe (l’ipotetica è d’obbligo) prevedere invece tale possibilità.

articolo del

Profilo dell'autore Richiedi il primo contatto gratuito in studio

Commenta l'articolo

Produezero s.r.l. non si assume alcuna responsabilità circa il contenuto dei commenti rilasciati dai singoli Utenti del sito www.ProntoProfessionista.it, che abbiano carattere diffamatorio, denigratorio ovvero contrario alla legge.
Produezero s.r.l. fornirà all'Autorità Giudiziaria ogni informazione utile all'identificazione del singolo Utente che abbia rilasciato commenti in contrasto con la normativa vigente.
Accetto
Invia
Resetta

L'autore è esperto in
Diritto dell`informatica

Studio Legale Avv. Emiliano Vitelli - Latina (LT)

Studio Legale Avv. Emiliano Vitelli

Avvocati / Penale

Viale Pablo Picasso 30

04100 - Latina (LT)

L'autore dell'articolo non è nella tua città?

Cerca un professionista con le stesse caratteristiche a te più vicino.

Ad esempio: Località / Indirizzo

Altri articoli del professionista

Luci ed ombre del Privacy Shield

Dichiarato invalido Safe Harbor per il trattamento dei dati personali UE ed USA concordano sui principi di un nuovo Accordo: il Privacy Shield

Continua

Corte Strasburgo, Jobs Act, controlli a distanza

L'azienda può licenziare il proprio dipendente sulla base dei controlli effettuati sugli strumenti utilizzati per lavorare (mail, messenger).

Continua

Industria 4.0 e cyber security aziendale

Il patrimonio informativo aziendale si comincia a difenderlo dall’interno: educazione, formazione, difesa

Continua

Il nuovo Regolamento Europeo sulla Privacy

Il 15 dicembre 201 c'è stato l'accordo in UE sul nuovo Regolamento della Privacy che avrà grande impatto sia per le persone che per le aziende

Continua

Man in the mail. Come tutelare l'impresa

Adottare le corrette policy, significa responsabilità e responsabilizzazione dei propri dipendenti, ma soprattutto difendere e far crescere l'impresa

Continua

La Corte Europea sul concetto di stabilimento

La normativa di uno Stato membro sui dati personali può essere applicata a una Società straniera che svolge,in tale Stato, un’attività stabile

Continua

Il non disclosure agreement: scambio di informazioni

Per sviluppare il business è necessario condividere informazioni in tutta sicurezza. Diventa fondamentale redigere accordi di non diffusione

Continua

Sicurezza e smaltimento dei RAEE

Lo smaltimento dei rifiuti elettrici ed elettronici non è più soltanto una questione ambientale ma anche e un problema di gestione di dati

Continua

OCSE: sicurezza digitale e sviluppo economico

L'OCSE ha appena emanato una nuova raccomandazione:“La gestione del rischio nella sicurezza digitale per una prosperità economica e sociale”

Continua

Le imprese dopo l'illegittimità del Safe Harbor

La Corte di Giustizia Europea ha invalidato l'accordo Safe Harbor tra UE e USA ritenendo gli Stati Uniti non sicuri per la tutela della privacy

Continua

Le imprese eccellenti sono ancora poco digitali

Rapporto del MISE su PMI innovative eccellenti: l'innovazione salva dalla difficile congiuntura economica, ma sul digitale c'è ancora da fare.

Continua