Nel momento in cui un titolare del trattamento sceglie di ricorrere ad un responsabile per lo svolgimento di una o più attività sui dati personali, è necessario svolgere due verifiche principali: una preliminare all’avvio delle operazioni, ed una da svolgere durante il corso delle stesse.
La verifica preliminare riguarda l’adeguatezza delle garanzie prestate circa la predisposizione di misure tecniche e organizzative per assicurare il rispetto dei principi e delle prescrizioni del GDPR e garantire la tutela dei diritti dell’interessato. In breve, riguarda l’adeguatezza del responsabile per l’affidamento dell’attività svolta. L’assenza di tale verifica comporta la culpa in eligendo in capo al titolare del trattamento in caso di contestazioni di violazioni del GDPR riguardanti l’attività delegata.
Successivamente, la verifica consiste nell’accertare che in corso dell’attività svolta il responsabile del trattamento mantenga la conformità sia alle prescrizioni del GDPR che ai contenuti della regolamentazione dei rapporti fra le parti secondo l’art. 28 GDPR. L’assenza di tale controllo comporta invece la culpa in vigilando in capo al titolare del trattamento in caso di contestazioni di violazioni del GDPR riguardanti l’attività delegata.
È bene ricordare che in forza del principio di responsabilizzazione è il titolare che deve definire tanto la periodicità quanto il grado di approfondimento dell’attività di verifica del responsabile, tenendo conto di non limitarsi ad effettuare meri rilievi formali ma avendo cura di perseguire l’effettività dei controlli svolti e programmati.
La procedura di verifica preliminare per la selezione deve raccogliere necessariamente alcune informazioni riguardanti l’assetto organizzativo predisposto dal responsabile per il rispetto di alcuni parametri predefiniti, che il più delle volte riguardano le misure di sicurezza tecniche e organizzative. Ulteriormente già in sede precontrattuale è opportuno definire alcuni termini massimi perché siano garantite da parte del responsabile le comunicazioni riguardanti:
- una violazione o il sospetto di una violazione di dati personali;
- eventuali richieste avanzate da parte degli interessati;
- il riscontro ad eventuali richieste di informazioni da parte del titolare.
Successivamente alla formalizzazione del rapporto fra titolare e responsabile del trattamento, l’attività di verifica deve comunque continuare a tenere conto dei criteri definiti dal GDPR (ovverosia: natura, ambito di applicazione, contesto e finalità del trattamento e rischi inerenti per i diritti e le libertà delle persone fisiche), a cui vanno aggiunti gli ulteriori punti derivanti dai contenuti vincolanti stipulati ai sensi dell’art. 28 GDPR. All’interno dell’accordo stipulato con il responsabile è inoltre possibile (nonché fortemente consigliato) precisare le modalità di svolgimento di tali controlli (termine di preavviso, numero di ingressi, ambiti, coinvolgimento di terze parti, etc.).
Su un piano operativo, le verifiche possono essere attuate mediante somministrazione di checklist o altri strumenti di controllo, fra cui può rientrare il riscontro dell’adesione ad un codice di condotta o del mantenimento di una certificazione o anche lo svolgimento di un audit di seconda parte. La scelta del metodo, però, non può essere totalmente arbitraria ma deve tenere conto dell’obiettivo di garantire una tutela della qualità del dato e della sicurezza dell’attività di trattamento facendo anche riferimento, necessariamente, tanto al parametro dei costi (finanziari, strategici ed operativi) di controllo quanto a quello dei rischi nei confronti delle persone fisiche dell’attività di trattamento delegata.
Tanto la verifica di adeguatezza iniziale quanto il controllo dell’attività svolta è un’attività che rimane assegnata direttamente dal GDPR al novero di obblighi cui il titolare del trattamento deve adempiere ed essere in grado di dimostrare e a cui pertanto si ricollegano tutte le responsabilità collegate alle operazioni di trattamento delegate.
