Il responsabile del trattamento occupa, nell’ambito del Regolamento generale sulla protezione dei dati, una posizione che va ben oltre l’immagine tradizionale di un prestatore esterno incaricato di compiere meri atti tecnici. In un’economia digitale nella quale infrastrutture cloud, piattaforme SaaS, fornitori di servizi gestiti, data center, fornitori di cybersicurezza, sistemi HR, prestatori di servizi di pagamento, tecnologie di marketing e servizi specializzati di analytics sostengono una parte sostanziale del trattamento operativo dei dati, il responsabile del trattamento si colloca al centro della catena del rischio digitale. La qualificazione giuridica come responsabile del trattamento resta formalmente collegata al trattamento effettuato per conto del titolare del trattamento, ma la sua rilevanza pratica è divenuta notevolmente più incisiva. Un responsabile del trattamento può avere accesso a insiemi di dati estesi, gestire sistemi critici, determinare impostazioni di sicurezza, facilitare la registrazione dei log, rilevare violazioni dei dati personali, eseguire processi di ripristino e avvalersi di sub-responsabili all’interno di catene internazionali. In tal modo, il suo ruolo incide direttamente su affidabilità, continuità, riservatezza, disponibilità e controllabilità. Nell’ambito della Gestione integrata dei rischi di criminalità digitale, tale posizione assume un rilievo particolarmente elevato, poiché i dati personali non sono soltanto sensibili sotto il profilo della protezione della vita privata, ma costituiscono anche un obiettivo appetibile per frodi, abuso di identità, presa di controllo di account, phishing, ransomware, compromissione della posta elettronica aziendale e altri rischi di criminalità digitale. Il responsabile del trattamento non è quindi una parte contrattuale periferica, ma un anello della catena la cui qualità contribuisce a determinare se i dati personali restino effettivamente protetti contro abuso, manipolazione, perdita e accesso non autorizzato.
La questione centrale nel ricorso a un responsabile del trattamento non consiste soltanto nel verificare l’esistenza di un accordo sul trattamento dei dati, ma nel valutare se il rapporto effettivo sia stato strutturato in modo sufficientemente governabile, verificabile ed esigibile. Un accordo meramente cartaceo, privo di controllo operativo, offre una protezione limitata quando restano incerti il luogo di conservazione dei dati, i sub-responsabili coinvolti, le modalità di segnalazione degli incidenti, gli standard di sicurezza applicabili, il modo in cui vengono implementate le modifiche del servizio e le modalità pratiche di esercizio dei diritti degli interessati. Il Regolamento generale sulla protezione dei dati attribuisce pertanto grande rilievo a istruzioni, sicurezza, riservatezza, controllo della catena, assistenza, cessazione del rapporto e dimostrabilità. Tali obblighi non devono essere intesi come clausole contrattuali isolate, bensì come requisiti di governance interdipendenti che determinano se un trattamento esternalizzato dei dati possa avvenire in modo responsabile. Nel contesto della Gestione integrata dei rischi di criminalità digitale, ciò significa che i rapporti con i responsabili del trattamento devono essere valutati sotto il profilo della liceità giuridica, della resilienza digitale, della dipendenza dalla catena, della solidità probatoria e del controllo direzionale. Un’organizzazione che esternalizza il trattamento dei dati resta responsabile dell’idoneità del responsabile del trattamento, della sufficiente concretezza degli accordi e della possibilità di monitorare la conformità durante l’intero rapporto. Il responsabile del trattamento è quindi al tempo stesso soggetto esecutivo e punto di rischio: limitato nella determinazione giuridica delle finalità, ma fortemente influente nella protezione, nella continuità e nell’integrità effettive dei dati personali.
Trattamento per conto del titolare del trattamento
Il responsabile del trattamento non tratta i dati personali per finalità proprie, ma esclusivamente per conto e su incarico del titolare del trattamento. Questo principio costituisce l’ancoraggio giuridico del ruolo del responsabile del trattamento ai sensi del Regolamento generale sulla protezione dei dati. Il titolare del trattamento determina perché i dati personali vengono trattati, per quale finalità ciò avviene e all’interno di quale quadro essenziale il trattamento si svolge. Il responsabile del trattamento dei dati compie invece le operazioni materiali necessarie per eseguire tale trattamento, come hosting, conservazione, manutenzione, supporto tecnico, trattamento amministrativo, monitoraggio della sicurezza, gestione dei backup o servizi di piattaforma. Questa ripartizione dei ruoli non è una formalità, ma determina l’intera distribuzione delle responsabilità all’interno della catena del trattamento dei dati. Quando il responsabile del trattamento utilizza dati personali per una propria finalità commerciale, per proprie analisi, per lo sviluppo di prodotti al di fuori del servizio concordato o per il riutilizzo a favore di altri clienti, sorge immediatamente una tensione con la qualificazione come responsabile del trattamento. L’essenza del trattamento per conto altrui risiede quindi nella subordinazione funzionale: il responsabile del trattamento può agire entro i limiti dell’incarico, ma non oltre la finalità per la quale i dati sono stati forniti.
Nell’ambito di servizi digitali complessi, tale delimitazione diventa sempre più vulnerabile. Molti responsabili del trattamento offrono piattaforme standardizzate nelle quali configurazione tecnica, impostazioni di sicurezza, luoghi di conservazione e processi operativi sono in larga misura determinati dal prestatore del servizio. Il titolare del trattamento può quindi impartire formalmente istruzioni, mentre lo spazio operativo effettivo è ampiamente modellato dalle condizioni standard del fornitore, dai limiti tecnici e dai moduli contrattuali. Questa realtà non riduce l’importanza della qualificazione come responsabile del trattamento, ma richiede una verifica più rigorosa. Il trattamento per conto del titolare presuppone che siano stabiliti in anticipo quali operazioni di trattamento avranno luogo, quali categorie di dati saranno interessate, quali interessati saranno coinvolti, quali sistemi saranno utilizzati, quali possibilità di accesso esisteranno e quali limiti si applicheranno all’uso, alla conservazione, al trasferimento e alla cancellazione. Senza tale livello di specificità, il rapporto di incarico può facilmente trasformarsi in un rapporto di dipendenza diffusa, nel quale il titolare del trattamento dispone di una visibilità insufficiente sul trattamento effettivo dei dati personali. Nell’ambito della Gestione integrata dei rischi di criminalità digitale, ciò è problematico, perché l’incertezza relativa a incarico, accesso e limitazione delle finalità aumenta il rischio di flussi di dati non controllati, scelte di sicurezza deboli e insufficiente rilevazione dei rischi di criminalità digitale.
Un rapporto con il responsabile del trattamento strutturato con cura inizia pertanto con una valutazione sostanziale del servizio prima che qualsiasi dato personale venga trattato. Il titolare del trattamento deve poter stabilire se il trattamento sia realmente necessario per la finalità prevista, se il responsabile del trattamento agirà esclusivamente entro tale finalità e se il servizio sia sufficientemente trasparente da consentire un controllo effettivo. Ciò implica una descrizione chiara della natura e della finalità del trattamento, della durata del trattamento, delle tipologie di dati personali, delle categorie di interessati e degli obblighi del responsabile del trattamento. Tali elementi non possono rimanere a un livello di formulazione generale, poiché espressioni generiche offrono scarso sostegno in caso di controversie, incidenti o richieste da parte dell’autorità di controllo. Il rapporto di incarico deve essere sufficientemente concreto da permettere di stabilire, sul piano giuridico e operativo, quali atti siano consentiti e quali atti eccedano l’incarico. In tal modo, il responsabile del trattamento dei dati viene inserito in una struttura più ampia di gestione della criminalità digitale, nella quale l’esternalizzazione non conduce a una perdita di controllo, bensì a un’esecuzione controllata entro confini chiari. Il responsabile del trattamento può occupare una posizione tecnicamente forte, ma tale posizione deve restare sempre subordinata all’incarico conferito dal titolare del trattamento.
Vincolo a istruzioni documentate
L’obbligo di agire esclusivamente sulla base di istruzioni documentate costituisce una delle garanzie più essenziali nel rapporto tra titolare del trattamento e responsabile del trattamento dei dati. Le istruzioni formano il quadro giuridico e operativo entro il quale il responsabile del trattamento può raccogliere, consultare, conservare, modificare, proteggere, trasferire, cancellare o trattare in altro modo dati personali. In assenza di tali istruzioni, manca la delimitazione normativa del trattamento e sorge il rischio che il responsabile del trattamento attribuisca una propria interpretazione agli atti consentiti. Il Regolamento generale sulla protezione dei dati richiede quindi più di accordi orali o riferimenti generali al servizio. Le istruzioni devono essere registrate, verificabili e sufficientemente specifiche rispetto alla natura del trattamento. Ciò riguarda non solo i compiti svolti dal responsabile del trattamento, ma anche le limitazioni: quali dati non possono essere utilizzati, quali trattamenti sono esclusi, quali luoghi sono vietati, quali livelli di accesso si applicano e quali condizioni disciplinano le modifiche. Le istruzioni documentate rendono il rapporto di trattamento controllabile e costituiscono una prova essenziale quando un’autorità di controllo, un giudice, un interessato o un audit interno chiedono perché un determinato trattamento dei dati abbia avuto luogo.
Nelle catene digitali, l’importanza delle istruzioni documentate aumenta perché il trattamento dei dati avviene spesso mediante processi automatizzati che non vengono valutati separatamente in ogni singola occasione. Una piattaforma software può generare automaticamente log, conservare metadati, creare backup, analizzare il comportamento degli utenti, elaborare avvisi di sicurezza o replicare dati in ambienti diversi. Tali processi possono essere funzionalmente necessari, ma devono comunque rientrare nell’ambito dell’incarico. Le istruzioni devono quindi contenere non soltanto linguaggio giuridico, ma anche riflettere la realtà tecnica. Deve essere chiaro come scorrono i flussi di dati, quali azioni di sistema avvengono per impostazione predefinita, quali scelte sono configurabili e quali trattamenti derivano da sicurezza, manutenzione, risoluzione dei problemi o gestione delle prestazioni. Quando questi livelli tecnici restano fuori dal campo visivo, un titolare del trattamento può aver impartito formalmente istruzioni, mentre parti essenziali del trattamento effettivo non sono state realmente delimitate. Nel quadro della Gestione integrata dei rischi di criminalità digitale, questo aspetto merita particolare attenzione, perché gli aggressori sfruttano spesso debolezze tecniche, percorsi di accesso non controllati e diritti di sistema poco chiari. Le istruzioni documentate non sono quindi rilevanti soltanto ai fini del diritto della protezione dei dati, ma costituiscono anche uno strumento di gestione della criminalità digitale.
Un responsabile del trattamento dei dati deve inoltre essere in grado di individuare situazioni in cui un’istruzione sia poco chiara, contraddittoria o potenzialmente illecita. Il responsabile del trattamento non è un controllore indipendente del titolare del trattamento, ma non può nemmeno eseguire ciecamente istruzioni manifestamente contrarie agli obblighi in materia di protezione dei dati. In un rapporto solido con il responsabile del trattamento viene quindi stabilito come le istruzioni sono impartite, modificate, confermate e documentate, chi è autorizzato a impartirle e come avviene l’escalation quando un’istruzione è giuridicamente o tecnicamente problematica. Questo livello procedurale impedisce che decisioni cruciali scompaiano in e-mail isolate, ticket di supporto informali o accordi operativi privi di garanzia direzionale. In particolare nei casi di risposta agli incidenti, migrazioni, modifiche dei sistemi, esportazione dei dati, richieste di cancellazione e misure urgenti, è essenziale che le istruzioni siano rapide, chiare e probatoriamente affidabili. Il valore delle istruzioni non risiede soltanto nella delimitazione preventiva, ma anche nella responsabilizzazione dimostrabile ex post. Un responsabile del trattamento che può dimostrare che il trattamento è avvenuto esclusivamente entro parametri scritti e stabiliti rafforza la posizione del titolare del trattamento e riduce il rischio che l’esternalizzazione venga considerata come un trasferimento non controllato di potere fattuale sui dati personali.
Assenza di determinazione autonoma delle finalità
Il responsabile del trattamento dei dati, in linea di principio, non determina autonomamente le finalità e i mezzi essenziali del trattamento. Questo lo distingue dal titolare del trattamento e costituisce un elemento centrale della qualificazione ai sensi del Regolamento generale sulla protezione dei dati. La determinazione delle finalità riguarda la domanda del perché i dati personali vengano trattati e quale risultato il trattamento intenda conseguire. I mezzi essenziali riguardano scelte fondamentali, come quali dati personali siano necessari, quali interessati siano coinvolti, per quanto tempo i dati siano conservati, a chi vengano comunicati e su quale base giuridica il trattamento avvenga. Il responsabile del trattamento può effettuare scelte pratiche o tecniche quando esse rientrano nell’incarico, ma non può determinare autonomamente l’orientamento normativo del trattamento. Quando, ad esempio, un fornitore utilizza dati dei clienti per costruire propri profili, combina insiemi di dati per migliorare propri prodotti, impiega dati per finalità di marketing indipendenti o decide autonomamente che i dati saranno conservati più a lungo di quanto richiesto dall’incarico, il ruolo può spostarsi verso quello di titolare del trattamento. Tale spostamento può avere conseguenze rilevanti in materia di responsabilità, trasparenza, contrattualistica, controllo e diritti degli interessati.
Nella pratica, la distinzione tra margine decisionale tecnico e determinazione autonoma delle finalità è spesso delicata. I responsabili del trattamento dispongono frequentemente di competenze specialistiche che il titolare del trattamento non possiede internamente. Essi determinano quali tecniche di sicurezza vengono utilizzate, come viene configurata l’infrastruttura, come avviene il monitoraggio, quale strategia di backup viene applicata e come vengono sviluppate le funzionalità della piattaforma. Ciò non li trasforma automaticamente in titolari del trattamento. La competenza tecnica esercitata nel quadro di un incarico resta compatibile con il ruolo di responsabile del trattamento, purché il trattamento resti funzionale alla finalità determinata dal titolare del trattamento. Il limite viene superato quando il responsabile del trattamento inizia a utilizzare dati personali per un interesse proprio non necessario al servizio concordato, oppure quando decide di fatto sul nucleo del trattamento. Nell’ambito della Gestione integrata dei rischi di criminalità digitale, tale limite deve essere sorvegliato con attenzione, perché l’ambiguità dei ruoli conduce a responsabilità incerte in caso di incidenti, violazioni dei dati, accessi non autorizzati, trasferimenti e abuso dei dati. L’ambiguità dei ruoli costituisce un autonomo punto di rischio nelle catene digitali.
Contratti, due diligence e governance operativa devono pertanto esaminare espressamente quali decisioni il responsabile del trattamento dei dati assuma autonomamente e quali decisioni rientrino nelle istruzioni del titolare del trattamento. Espressioni generali come “miglioramento del servizio”, “security analytics”, “ottimizzazione della piattaforma” o “insight sugli utenti” possono risultare giuridicamente problematiche quando non è chiaro se dati personali siano utilizzati per tali finalità e per quale ragione. Neppure la pseudonimizzazione o l’aggregazione eliminano automaticamente ogni rischio, specialmente quando rimane possibile la reidentificazione o la combinazione con altri insiemi di dati. Il titolare del trattamento deve poter valutare se tali forme di trattamento rientrino nell’incarico o richiedano basi giuridiche separate, obblighi di trasparenza distinti e una diversa ripartizione dei ruoli. Un responsabile del trattamento che mantiene la purezza del proprio ruolo limita l’uso dei dati personali a quanto necessario per il servizio, sottopone trattamenti ulteriori a una valutazione separata e si astiene da sfruttamenti autonomi privi di una chiara base giuridica. In tal modo si evita che l’esternalizzazione si trasformi gradualmente in un potere condiviso o autonomo sui dati. Per la gestione della criminalità digitale, tale chiarezza è di grande importanza, perché ruoli definiti stabiliscono chi debba agire, notificare, indagare, rimediare e rendere conto quando i dati personali sono colpiti da minacce digitali o da carenze operative.
Obbligo di garantire una sicurezza adeguata
L’obbligo di adottare misure tecniche e organizzative adeguate rientra tra le responsabilità più rilevanti del responsabile del trattamento dei dati. Il responsabile del trattamento è spesso più vicino del titolare ai sistemi effettivi, ai diritti di accesso, ai database, alle interfacce, ai log, alle configurazioni cloud e alle misure di sicurezza. Di conseguenza, esercita un’influenza diretta sulla protezione dei dati personali contro perdita, accesso non autorizzato, distruzione, alterazione, esfiltrazione o trattamento illecito. La sicurezza adeguata deve essere valutata in relazione al rischio, al contesto, allo stato dell’arte, ai costi di attuazione, alla natura dei dati personali, all’estensione del trattamento e alle possibili conseguenze per gli interessati. Una promessa generica secondo cui la sicurezza sarebbe “adeguata” non è sufficiente. Il responsabile del trattamento deve poter dimostrare concretamente quali misure siano state adottate, come tali misure siano mantenute, come siano gestite le vulnerabilità, come sia limitato l’accesso, come avvenga la registrazione dei log e come sia organizzato il ripristino dopo un incidente. La sicurezza non è dunque un allegato del servizio, ma una condizione essenziale per la liceità del trattamento.
Nell’ambito della Gestione integrata dei rischi di criminalità digitale, questo obbligo di sicurezza assume una dimensione ulteriore. I dati personali sono spesso il carburante della criminalità digitale. Credenziali di accesso, copie di documenti di identità, dati finanziari, recapiti, informazioni mediche, fascicoli HR, profili clienti e dati di comunicazione possono essere utilizzati per phishing, frode d’identità, estorsione, ransomware, ingegneria sociale, presa di controllo di account e attacchi mirati contro organizzazioni o individui. Un responsabile del trattamento che consente autenticazione debole, applica una segmentazione insufficiente, non monitora i log, trascura la gestione delle patch o controlla in modo insufficiente i sub-responsabili aumenta non solo i rischi per la protezione dei dati, ma anche rischi più ampi di criminalità digitale. La sicurezza adeguata deve pertanto essere affrontata come una combinazione di prevenzione, rilevazione, risposta e ripristino. La prevenzione riguarda misure quali cifratura, limitazione degli accessi, autenticazione a più fattori, minimizzazione dei dati, hardening e configurazione sicura. La rilevazione riguarda monitoraggio, logging, individuazione di anomalie e alerting. La risposta riguarda procedure di incidente, escalation, contenimento e conservazione forense. Il ripristino riguarda backup, misure di continuità, test di recupero e valutazione.
Nella selezione e nel monitoraggio di un responsabile del trattamento dei dati, il titolare del trattamento deve quindi valutare sostanzialmente se il livello di sicurezza sia adeguato alla natura del trattamento. Certificazioni, relazioni di assurance, penetration test, documenti di policy e dichiarazioni di sicurezza possono essere rilevanti, ma non devono essere accettati acriticamente come prova sufficiente. La domanda centrale resta se le misure corrispondano al trattamento concreto e se il responsabile del trattamento sia in grado di mantenere la sicurezza per l’intera durata del servizio. Anche la gestione dei cambiamenti è rilevante. Nuove funzionalità, migrazioni, sub-responsabili modificati, luoghi di conservazione differenti o modelli di accesso alterati possono modificare sostanzialmente il profilo di rischio. L’obbligo di sicurezza adeguata è quindi dinamico: ciò che oggi è difendibile può risultare insufficiente domani a causa di nuove minacce, vulnerabilità tecniche o mutati flussi di dati. Nell’ambito della gestione della criminalità digitale, ciò significa che la sicurezza non può limitarsi a garanzie contrattuali al momento della sottoscrizione. Valutazione continua, reporting, analisi degli incidenti e seguito direzionale sono necessari per evitare che il responsabile del trattamento dei dati diventi il punto debole nella protezione dei dati personali.
Segretezza e riservatezza
Segretezza e riservatezza costituiscono uno strato fondamentale di protezione in ogni rapporto con un responsabile del trattamento. Il responsabile del trattamento dei dati deve garantire che le persone autorizzate ad accedere ai dati personali siano soggette a un adeguato obbligo di riservatezza. Tale obbligo riguarda non soltanto i dipendenti permanenti, ma anche personale temporaneo, specialisti esterni, addetti al supporto, amministratori, sviluppatori, consulenti e altre persone che possano ottenere accesso ai dati personali tramite il responsabile del trattamento. La riservatezza è più di una clausola in un contratto di lavoro o in un codice di condotta generale. Essa riguarda una limitazione reale dell’accesso, della conoscenza e dell’uso. Solo le persone che necessitano dei dati personali per l’esecuzione dell’incarico possono ottenere accesso, e tale accesso deve essere limitato, registrato e controllato. Senza tali misure, la riservatezza rimane una garanzia meramente documentale. Il Regolamento generale sulla protezione dei dati richiede che la riservatezza sia concretamente integrata mediante gestione delle autorizzazioni, accessi basati sui ruoli, formazione, logging, revisioni degli accessi e conseguenze disciplinari o contrattuali in caso di violazione.
Il significato della riservatezza è particolarmente rilevante negli ambienti digitali nei quali l’accesso ai dati personali può avvenire da remoto, tramite portali di supporto, strumenti di gestione, API o account amministrativi. Un dipendente di un responsabile del trattamento può talvolta ottenere in breve tempo accesso a grandi volumi di dati sensibili. Una singola debolezza nell’autorizzazione, nella verifica delle persone o nella supervisione può quindi causare un danno significativo. La riservatezza è pertanto direttamente collegata a rischi interni, violazioni dei dati personali, ingegneria sociale e abuso di diritti amministrativi. Nell’ambito della Gestione integrata dei rischi di criminalità digitale, la segretezza deve essere collegata a una più ampia gestione della criminalità digitale. Il rischio non si limita agli aggressori esterni che penetrano nei sistemi; anche l’accesso interno o semi-interno può essere abusato, estorto o insufficientemente monitorato. Ciò comprende consultazioni non autorizzate, esportazioni illecite, manipolazione dei dati, vendita di informazioni, gestione negligente dei dati dei clienti o abuso dei diritti di supporto. Un serio obbligo di riservatezza richiede pertanto una combinazione di vincolo giuridico, disciplina organizzativa e restrizione tecnica.
Il responsabile del trattamento deve poter dimostrare che la riservatezza è garantita all’interno della propria organizzazione e nella catena dei sub-responsabili. Ciò significa che gli obblighi di riservatezza devono essere contrattualmente documentati, ma anche che l’accesso ai dati personali deve essere periodicamente riesaminato, che la cessazione del rapporto di lavoro deve comportare una rapida revoca dei diritti, che l’accesso privilegiato deve essere gestito rigorosamente e che gli accessi eccezionali devono essere registrati e valutati. Anche la formazione svolge un ruolo importante. Le persone con accesso ai dati personali devono comprendere quali dati vengono trattati, quali limitazioni si applicano, come riconoscere phishing e ingegneria sociale, come segnalare incidenti e quali conseguenze può comportare un trattamento non autorizzato. La riservatezza non è quindi un obbligo statico, ma un processo attivo di controllo. Un responsabile del trattamento dei dati che prende sul serio la riservatezza limita l’accesso a quanto strettamente necessario, monitora costantemente tale accesso e crea una cultura dimostrabile di cura intorno ai dati personali. Ciò non rafforza soltanto il rapporto con il responsabile del trattamento sul piano giuridico, ma lo rende anche più resiliente rispetto ai rischi di criminalità digitale derivanti da errore umano, vulnerabilità interne e abuso di autorità operative.
Ricorso a sub-responsabili del trattamento soggetto a condizioni
Il ricorso a sub-responsabili del trattamento rientra tra gli aspetti più sensibili del rapporto con il responsabile del trattamento, poiché i dati personali non rimangono più esclusivamente all’interno della sfera operativa diretta del responsabile principale. Ogni sub-responsabile aggiunge un ulteriore anello alla catena del trattamento dei dati e, con esso, un ulteriore punto in cui riservatezza, disponibilità, integrità, trasferimento, sicurezza e controllo possono essere compromessi. Il Regolamento generale sulla protezione dei dati richiede pertanto che un responsabile del trattamento non possa liberamente ricorrere ad altri responsabili senza previa autorizzazione o senza un quadro contrattuale che garantisca lo stesso livello di protezione previsto nel rapporto originario di trattamento. Tale requisito riveste importanza fondamentale, poiché il titolare del trattamento non deve trovarsi, a posteriori, di fronte a una catena effettiva di fornitori, soggetti di hosting, prestatori di supporto, partner infrastrutturali o società estere del gruppo di cui non aveva preventiva conoscenza. Il ricorso a sub-responsabili modifica la natura del rischio: laddove inizialmente esisteva un solo rapporto contrattuale, sorge una catena nella quale ogni anello può rafforzare o indebolire la protezione dei dati personali.
Nella pratica, il sub-trattamento è spesso incorporato nei servizi digitali moderni. I fornitori cloud operano con data center, reti di distribuzione dei contenuti, sedi di supporto, fornitori di sicurezza, componenti di analytics e moduli software di terzi. Le piattaforme SaaS possono fare affidamento su hosting esterno, fornitori di posta elettronica, servizi di logging, strumenti di monitoraggio, soluzioni di autenticazione e prestatori di supporto clienti. Di conseguenza, un rapporto con un responsabile del trattamento apparentemente semplice può in realtà poggiare su una catena internazionale e tecnicamente stratificata. Nell’ambito della Gestione integrata dei rischi di criminalità digitale, tale catena deve essere visibile, valutabile e contrattualmente controllabile. Non è rilevante soltanto l’identità del sub-responsabile, ma anche la funzione svolta da tale soggetto, le categorie di dati personali interessate, il luogo del trattamento, le misure di sicurezza adottate, ogni eventuale trasferimento al di fuori dello Spazio economico europeo, le procedure di notifica degli incidenti e le possibilità di audit o verifica. Senza queste informazioni, il titolare del trattamento non può valutare se il ricorso al sub-responsabile sia compatibile con i propri obblighi in materia di protezione dei dati e con il più ampio quadro di gestione della criminalità digitale.
Una clausola accuratamente redatta sui sub-responsabili richiede pertanto più di una generica autorizzazione contenuta in un contratto standard. È importante che il titolare del trattamento riceva, in via preventiva o periodica, un elenco aggiornato dei sub-responsabili, che le modifiche sostanziali siano comunicate tempestivamente e che il titolare possa opporsi quando un nuovo sub-responsabile comporti un rischio inaccettabile. Il responsabile principale del trattamento deve inoltre garantire contrattualmente che ciascun sub-responsabile sia vincolato da obblighi equivalenti in materia di sicurezza, riservatezza, istruzioni, risposta agli incidenti, cancellazione, trasferimenti e cooperazione. La responsabilità per una catena adeguatamente controllata non termina con il mero trasferimento di clausole contrattuali. Un responsabile del trattamento che ricorre a sub-responsabili deve poter dimostrare che la selezione è stata effettuata con cura, che i rischi sono stati valutati, che le garanzie sono monitorate e che le carenze possono essere seguite da interventi effettivi. Nell’ambito della Gestione integrata dei rischi di criminalità digitale, ciò è essenziale, poiché i rischi di criminalità digitale si materializzano spesso attraverso l’anello più debole della catena. Un responsabile principale solido perde gran parte del proprio valore se un sub-responsabile non adeguatamente controllato ha accesso a dati personali, dati di logging, backup o sistemi di gestione senza garanzie equivalenti.
Assistenza nell’esercizio dei diritti degli interessati
Il responsabile del trattamento svolge un importante ruolo di supporto nell’esercizio dei diritti degli interessati. I diritti di accesso, rettifica, cancellazione, limitazione del trattamento, portabilità dei dati e opposizione possono, sul piano formale, essere rivolti al titolare del trattamento, ma la loro esecuzione pratica dipende spesso da sistemi e ambienti di dati gestiti dal responsabile. Quando i dati personali sono conservati in sistemi cloud, database applicativi, ambienti di backup, portali clienti, file di log o sistemi di supporto tecnico, il titolare del trattamento non può gestire integralmente o nei tempi richiesti una richiesta di un interessato senza la cooperazione del responsabile del trattamento. L’obbligo di assistenza del responsabile non è quindi meramente accessorio, ma incide direttamente sull’effettiva eseguibilità dei diritti in materia di protezione dei dati. Un diritto che esiste sul piano giuridico ma che non può essere tecnicamente eseguito entro un termine ragionevole perde gran parte del proprio significato e può condurre a reclami, rischi di intervento dell’autorità di controllo e perdita di fiducia.
Tale obbligo richiede processi predisposti in anticipo. Non è sufficiente che un responsabile del trattamento verifichi soltanto dopo il ricevimento di una richiesta concreta se i dati possano essere localizzati, esportati, corretti o cancellati. Sistemi, processi e accordi contrattuali devono tenere conto dei diritti degli interessati fin dall’inizio. Ciò significa che i dati personali devono essere reperibili, le categorie di dati devono essere sufficientemente classificate, devono esistere funzionalità di esportazione, la cancellazione deve essere tecnicamente realizzabile, le limitazioni devono poter essere applicate e deve essere chiaro quali dati si trovino nei sistemi attivi, negli archivi, nei backup, negli ambienti di logging e nelle catene di sub-responsabili. Nell’ambito della Gestione integrata dei rischi di criminalità digitale, questa operazionalizzazione riveste particolare importanza. L’incapacità di localizzare o correggere tempestivamente i dati può infatti non solo comportare una violazione dei diritti alla protezione dei dati, ma anche determinare processi decisionali errati, identificazioni sbagliate, processi cliente esposti alla frode, segnalazioni ingiustificate o un aumento dei rischi di criminalità digitale. Qualità dei dati, tracciabilità ed esercizio dei diritti sono quindi strettamente connessi all’integrità digitale.
L’accordo sul trattamento dei dati deve disciplinare in modo concreto come sarà prestata l’assistenza relativa ai diritti degli interessati, entro quali termini il responsabile del trattamento dovrà rispondere, quali canali di comunicazione saranno utilizzati, quali costi potranno eventualmente essere addebitati, come sarà gestita la verifica dell’identità e come sarà garantito che il responsabile non prenda decisioni sostanziali riservate al titolare del trattamento. Il responsabile del trattamento deve fornire assistenza, ma non deve determinare senza istruzioni se una richiesta debba essere accolta o respinta, salvo che specifici accordi contrattuali e parametri giuridici lo consentano. Deve inoltre essere garantito che le richieste ricevute direttamente dal responsabile siano immediatamente inoltrate o trattate secondo istruzioni prestabilite. In un quadro correttamente controllato, ogni richiesta è considerata come un test della qualità dei dati, della progettazione dei sistemi e dell’accountability. Quando un’organizzazione dipende da un responsabile che non può fornire un’esportazione affidabile, capacità di ricerca mirata o cancellazione verificabile, sorge una vulnerabilità strutturale. Nell’ambito della Gestione integrata dei rischi di criminalità digitale, il responsabile del trattamento deve pertanto essere valutato in base alla misura in cui il suo servizio tecnico contribuisce effettivamente a trasparenza, controllabilità e tutela giuridica.
Cooperazione in materia di sicurezza, incidenti e valutazioni d’impatto sulla protezione dei dati
Il responsabile del trattamento deve sostenere il titolare del trattamento nell’adempimento degli obblighi relativi a sicurezza, violazioni dei dati personali, analisi dei rischi e valutazioni d’impatto sulla protezione dei dati. Tale obbligo di cooperazione deriva dalla posizione del responsabile quale soggetto che spesso dispone della visibilità più diretta sugli ambienti tecnici, sui log di accesso, sulle configurazioni, sulle vulnerabilità, sugli avvisi di sistema, sulle attività di supporto e sugli incidenti operativi. Il titolare del trattamento può essere giuridicamente tenuto a valutare le misure di sicurezza, notificare tempestivamente le violazioni dei dati personali o svolgere una valutazione d’impatto sulla protezione dei dati, ma necessita a tal fine di informazioni che spesso si trovano presso il responsabile del trattamento. Un responsabile che fornisce informazioni insufficienti o tardive può porre il titolare del trattamento in una posizione in cui i termini legali non vengono rispettati, i rischi non sono pienamente compresi e le misure correttive non risultano adeguatamente motivate. La cooperazione non è quindi una questione di cortesia, ma una condizione necessaria per una gestione dei rischi lecita, verificabile ed efficace.
La tempestività è particolarmente importante in caso di incidenti di sicurezza. Una violazione dei dati personali o un incidente cyber può evolversi più rapidamente di quanto il processo decisionale giuridico riesca a seguire. Ransomware, furto di credenziali, accesso non autorizzato, malware, configurazioni errate, abuso di API o esfiltrazione possono produrre in breve tempo conseguenze significative per gli interessati e per le organizzazioni. Nell’ambito della Gestione integrata dei rischi di criminalità digitale, deve pertanto essere chiaro in anticipo quali eventi siano qualificati come incidenti, quando l’escalation sia obbligatoria, quali informazioni il responsabile del trattamento debba fornire, quali dati forensi debbano essere preservati, chi sia autorizzato a comunicare, quali misure di contenimento si applichino e come le prove debbano essere messe in sicurezza. Non si tratta soltanto della notifica formale di una violazione dei dati personali, ma anche della qualità della ricostruzione fattuale. Senza logging, cronologie, analisi tecnica, valutazione dell’impatto e visibilità sui dataset interessati, il titolare del trattamento non può valutare se sia richiesta una notifica all’autorità di controllo o agli interessati. Il responsabile svolge quindi un ruolo determinante nel passaggio dalla perturbazione tecnica alla qualificazione giuridica.
Il responsabile del trattamento deve inoltre essere in grado di fornire informazioni sostanziali per le valutazioni d’impatto sulla protezione dei dati e per le più ampie analisi dei rischi. Quando un trattamento può presentare un rischio elevato per i diritti e le libertà degli interessati, può essere necessaria una valutazione d’impatto sulla protezione dei dati. Il titolare del trattamento ne resta il principale responsabile, ma il responsabile deve poter fornire informazioni sulle funzionalità dei sistemi, sulle misure di sicurezza, sui flussi di dati, sulla gestione degli accessi, sui periodi di conservazione, sui sub-responsabili, sui trasferimenti e sulle limitazioni tecniche. Tali informazioni devono essere sufficientemente concrete da consentire una reale valutazione dei rischi. Dichiarazioni generiche di conformità o documentazione commerciale non sono sufficienti a tale scopo. Nell’ambito della Gestione integrata dei rischi di criminalità digitale, la valutazione d’impatto sulla protezione dei dati deve inoltre essere intesa come qualcosa di più di una formalità del diritto della protezione dei dati. Essa costituisce uno strumento per esaminare sistematicamente i rischi di criminalità digitale, gli scenari di abuso, le dipendenze, le vulnerabilità e le capacità di risposta. Il responsabile del trattamento non deve quindi limitarsi a rispondere a domande, ma deve contribuire attivamente alla comprensione del funzionamento effettivo della tecnologia. Un responsabile che non offre trasparenza sui processi critici o che non è in grado di fornire informazioni adeguate sugli incidenti costituisce un rischio di governance che deve essere valutato prima della conclusione del contratto.
Cancellazione o restituzione dei dati al termine del servizio
Dopo la cessazione dei servizi, il responsabile del trattamento deve cancellare o restituire i dati personali al titolare del trattamento, in base alle istruzioni, agli accordi contrattuali e agli eventuali obblighi legali di conservazione. Tale obbligo riveste grande importanza, poiché la fine di un rapporto di servizio non significa automaticamente che i dati personali scompaiano effettivamente dai sistemi. I dati possono rimanere negli ambienti di produzione, nei backup, negli archivi, negli ambienti di test, nei file di log, nei ticket di supporto, nelle repliche, negli export, negli archivi temporanei, negli ambienti di disaster recovery o nei sistemi dei sub-responsabili. In assenza di chiari accordi di uscita, permane il rischio che i dati personali restino accessibili, vulnerabili o illecitamente conservati dopo la cessazione del rapporto. La fase di chiusura costituisce quindi un momento critico nel ciclo di vita del trattamento dei dati. Mentre i contratti dedicano spesso grande attenzione all’avvio dei servizi, la Gestione integrata dei rischi di criminalità digitale richiede anche una disciplina precisa della loro conclusione.
Un processo di uscita accurato deve essere progettato in anticipo e non deve essere improvvisato soltanto quando il rapporto è già sotto pressione o quando la cessazione è già stata comunicata. Il titolare del trattamento deve poter determinare se i dati personali saranno restituiti, in quale formato, entro quale termine, tramite quale canale sicuro, con quale verifica e con quali garanzie di completezza. Quando è richiesta la cancellazione, deve essere chiaro quali sistemi siano interessati, come sarà eseguita la cancellazione, come saranno coinvolti i sub-responsabili, come saranno trattati i backup e come sarà dimostrato che i dati non siano più disponibili per il trattamento ordinario. I backup richiedono particolare attenzione, perché la cancellazione fisica immediata può talvolta essere tecnicamente complessa. In tal caso, devono esistere accordi relativi all’isolamento, all’esclusione dall’uso attivo, alla sovrascrittura automatica, ai periodi di conservazione e alle restrizioni sul ripristino. Senza tale precisione, un responsabile può invocare limitazioni tecniche mentre i dati personali continuano in realtà a esistere più a lungo di quanto necessario o consentito.
L’obbligo di cancellare o restituire i dati ha rilievo anche per la gestione della criminalità digitale. I dataset residui costituiscono bersagli attraenti per gli aggressori, soprattutto quando ricadono al di fuori del monitoraggio attivo o dei processi ordinari di sicurezza. Vecchi export, file di migrazione, backup o copie di test possono contenere dati personali sensibili senza che l’organizzazione sappia ancora che tali dati esistono. Ciò aumenta il rischio di violazioni dei dati personali, frode d’identità, accesso non autorizzato e abuso. Nell’ambito della Gestione integrata dei rischi di criminalità digitale, la conservazione dei dati deve pertanto essere considerata non solo come una questione di termini di conservazione, ma anche come una questione di rischio. Quanto più a lungo i dati personali rimangono inutilmente esistenti, tanto più ampia diventa la superficie di attacco e tanto più difficile diventa mantenere il controllo. Un responsabile del trattamento deve quindi poter dimostrare che la cessazione conduce a una chiusura controllata, a un trasferimento sicuro, a una cancellazione dimostrabile e alla revoca degli accessi. Un chiaro accordo di uscita protegge non soltanto la posizione giuridica del titolare del trattamento, ma impedisce anche che il trattamento esternalizzato dei dati continui dopo la cessazione del rapporto sotto forma di vulnerabilità nascosta.
Dimostrabilità e disponibilità all’audit
La dimostrabilità costituisce la garanzia conclusiva degli obblighi del responsabile del trattamento. Un responsabile del trattamento deve mettere a disposizione informazioni sufficienti per consentire la verifica della conformità al Regolamento generale sulla protezione dei dati e all’accordo sul trattamento dei dati. Tale obbligo è connesso al più ampio principio di accountability: non è richiesto soltanto il rispetto delle regole, ma anche la capacità di dimostrare tale rispetto in modo convincente. Per il titolare del trattamento, ciò è essenziale, poiché la responsabilità formale permane anche quando il trattamento è stato esternalizzato. Senza accesso alle informazioni rilevanti, non è possibile stabilire se il responsabile del trattamento rispetti le istruzioni, applichi una sicurezza adeguata, gestisca con cura i sub-responsabili, segnali tempestivamente gli incidenti, assista nell’esercizio dei diritti degli interessati e cancelli correttamente i dati dopo la cessazione del rapporto. La dimostrabilità non è quindi una questione amministrativa secondaria, ma un presupposto del controllo direzionale e della difendibilità giuridica.
La disponibilità all’audit deve essere strutturata in modo pratico e proporzionato. Essa può assumere la forma di relazioni periodiche, certificazioni, attestazioni di assurance, report di sicurezza, risultati di penetration test, informazioni relative alle valutazioni d’impatto sulla protezione dei dati, elenchi di sub-responsabili, report di incidente, documenti di policy, dichiarazioni tecniche o audit mirati. La forma precisa dipende dalla natura del trattamento, dal profilo di rischio, dalla sensibilità dei dati e dalla posizione del responsabile. Un trattamento su larga scala o ad alto rischio può richiedere maggiore profondità rispetto a un supporto amministrativo limitato. Allo stesso tempo, la disponibilità all’audit non deve essere svuotata da restrizioni troppo ampie, dalla discrezionalità unilaterale del responsabile o da documentazione esclusivamente generica. Un meccanismo di audit deve consentire realmente al titolare del trattamento di ottenere una ragionevole garanzia circa la conformità. Nell’ambito della Gestione integrata dei rischi di criminalità digitale, le informazioni di audit non devono inoltre limitarsi a dichiarazioni sulla privacy, ma devono offrire visibilità sui rischi di criminalità digitale, sugli incidenti di sicurezza, sulla gestione degli accessi, sulle vulnerabilità, sulla capacità di ripristino, sulle catene di sub-responsabili e sulle dipendenze operative rilevanti.
Una solida struttura di audit e responsabilizzazione rafforza l’intera catena del trattamento dei dati. Essa rende visibili i punti in cui sorgono i rischi, le misure di miglioramento necessarie e gli accordi contrattuali da rafforzare. Un responsabile del trattamento disposto alla trasparenza, alla verifica e al seguito correttivo dimostra che la protezione dei dati non è trattata come un mero obbligo contrattuale, ma come parte integrante dell’erogazione professionale di servizi digitali. Per il titolare del trattamento, ciò crea una posizione più difendibile nei confronti delle autorità di controllo, degli interessati, degli organi direttivi, dei clienti e degli altri stakeholder. Una disponibilità insufficiente all’audit costituisce, al contrario, un serio segnale di allarme. Un responsabile che rifiuta di fornire visibilità su sicurezza, sub-responsabili, incidenti o conformità chiede in sostanza fiducia senza controllo. In un contesto caratterizzato da crescenti rischi di criminalità digitale, ciò è insufficiente. Nell’ambito della Gestione integrata dei rischi di criminalità digitale, il responsabile del trattamento deve quindi non solo trattare i dati conformemente alle istruzioni, ma anche poter dimostrare che tale trattamento è lecito, sicuro, controllabile e resiliente lungo l’intera catena.
