08. E’ possibile affidare la responsabilità del trattamento a un soggetto terzo individuato dall’affidatario di un servizio?

Il mio ente ha affidato un servizio che richiede il trattamento di dati personali. Abbiamo chiesto alla società affidataria di sottoscrivere la responsabilità del trattamento dei dati, ma ci hanno risposto che loro hanno individuato un responsabile esterno, quindi richiedono al nostro ente di disporre che quel soggetto esterno sia il responsabile del trattamento. E’ corretto?

---

La responsabilità del trattamento dei dati, riferita a uno specifico servizio, può essere affidata a un soggetto esterno all’ente  esclusivamente nella forma contrattuale, con riferimento alle prestazioni richieste per le quali entra in possesso dei dati

L’ente, infatti, non ha alcun titolo per emettere un provvedimento nei confronti un soggetto terzo, diverso dall’affidatario, che non abbia mai individuato e con il quale non abbia alcun rapporto di tipo contrattuale. Nè può ritenersi idonea a instaurare tale rapporto la segnalazione di un terzo, da parte del soggetto contraente.

Ciò non vuol dire che la società affidataria non possa avvalersi di un soggetto esterno a cui attribuire la responsabilità del trattamento dei dati gestiti all’interno di un servizio. Ma tale scelta attiene all’autonoma determinazione della società stessa, nella scelta dei propri fornitori di servizi. 

Qualora la società ritenga di affidare a un soggetto diverso la Responsabilità per il trattamento di dati, nell’ambito del servizio gestito per conto dell’Ente, non dovrà essere quest’ultimo a nominare la società terza quale Responsabile del trattamento, non avendo con essa alcun rapporto contrattuale, né potendo designarla con atti di imperio, ma dovrà esclusivamente prendere atto di tale scelta “organizzativa” che, essendo tale, ricade nella piena responsabilità dell’affidatario che dovrà fornire adeguate assicurazioni in ordine alla idoneità del soggetto da lui prescelto, oltre che della regolarità nell’esercizio della responsabilità in ordine al trattamento dei dati.

In particolare, il ricorso alla responsabilità del trattamento a un soggetto terzo, all’interno di un rapporto contrattuale preesistente, dovrà avvenire nel rispetto delle seguenti modalità:

1. La società affidataria, dovrà sottoscrivere gli impegni previsti, conformemente alle prescrizioni del RGPD, precisando che, per suo conto, il ruolo di Responsabile sarà attribuito a una società terza, della cui individuazione e capacità di assolvere agli obblighi richiesti risponde lo stesso contraente, avendola specificamente individuata.
2. La società, inoltre, dovrà produrre, inoltre, un documento da cui si evinca che la società terza sia stata formalmente incaricata di assicurare il rispetto degli obblighi e degli adempimenti richiesti e che abbia accettato tale incarico, indicandone la scadenza, oltre alle informazioni di contatto.
3. La stessa società, infine, si impegna a fornire al Responsabile del trattamento, da lei individuato, ogni strumento o informazione utile ai fini dell’espletamento del servizio, assicurandone la continuità e garantendone l’espletamento in caso di interruzione, sospensione o revoca, obbligandosi a informare tempestivamente l’Ente nel caso in cui si verifichi un eventuale avvicendamento.