L’art. 29 del GDPR si occupa delle istruzioni del Titolare del trattamento e stabilisce uno dei più importanti principi del Regolamento UE sulla protezione dei dati: “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal Titolare del trattamento” (salvo che lo richieda il diritto dell’Unione o degli Stati membri).
Il principio di accountability trova uno dei suoi principali fondamenti in tale disposizione normativa che ribadisce, innanzitutto, che è il Titolare del trattamento – e solo lui – a determinare finalità e mezzi del trattamento dei dati, sia che tali trattamenti siano effettuati dal Titolare stesso, oppure dai suoi dipendenti o, infine, da uno o più Responsabili del trattamento.
Il Titolare deve sempre curare di dare adeguate istruzioni, tecniche ed organizzative, sia ai propri dipendenti sia ai terzi all’esterno della propria organizzazione, che trattano i suoi dati, affinché siano salvaguardati i principi di protezione dei dati fin dall’origine e per impostazione predefinita previsti dal GDPR.
Le istruzioni del Titolare costituiscono un requisito indispensabile per individuare le diverse posizioni e le correlate responsabilità, nel trattamento dei dati, dei singoli – Titolare, dipendenti, Responsabili del trattamento – perché permettono di individuare quali siano i compiti di ciascuno ed i connessi limiti entro i quali ciascun soggetto può e deve operare.
E’ facilmente comprensibile, pertanto, che certi accordi ex art. 28 GDPR, redatti in modo assolutamente generico o contenenti pacchetti di “istruzioni omnibus“, valevoli per qualsiasi tipologia di trattamento, difficilmente potranno ambire di svolgere il ruolo che gli dovrebbe essere proprio.
Ma chi sono i soggetti cui il Titolare deve dare chiare e precise istruzioni?
Sono, innanzitutto, i soggetti esterni all’organizzazione dell’imprenditore, che svolgono per conto dello stesso prestazioni strumentali e subordinate alle scelte del primo, il più delle volte in virtù di un contratto (di fornitura, di consulenza, di partnership, etc.).
Questi soggetti sono definiti, come noto, Responsabili del trattamento e si caratterizzano proprio per il fatto che ricevono – devono ricevere – istruzioni chiare e precise da parte del Titolare, che in tal modo delimita i loro poteri nel trattamento dei dati dell’interessato.
E’, inoltre, appena il caso di ricordare che le istruzioni che il Titolare dà al Responsabile non devono rimanere segregate nel cassetto del Responsabile dove viene riposto l’Accordo richiesto dall’art. 28 GDPR, ma devono essere diffuse, rese conoscibili e, anzi, fatte doverosamente conoscere dal Responsabile anche ai propri dipendenti e ai propri sub-responsabili.
In secondo luogo, il Titolare deve impartire chiare e precise istruzioni anche ai propri dipendenti, definendo anche al proprio interno chi può trattare i dati, con che finalità, con che ampiezza, adottando quali misure di protezione, etc.
Corollario evidente dell’obbligo del Titolare di dare le istruzioni indispensabili ai propri sottoposti (interni e/o esterni che siano) è il correlativo obbligo di controllare periodicamente che le proprie istruzioni siano osservate , dovendo, infatti, verificare che le categorie di dati trattati e le operazioni che vengono eseguite si attengano scrupolosamente al rispetto dei parametri di liceità stabiliti dal Titolare stesso ed ai limiti imposti da quest’ultimo.
Nel caso, poi, di situazioni di contitolarità del trattamento – quando, cioè, più Titolari determinano congiuntamente le finalità e i mezzi del trattamento – ciascuno dei contitolari dovrà, in ogni caso, dare le proprie specifiche istruzioni ai propri sottoposti, in funzione delle specifiche competenze che gli stessi contitolari si sono assegnate con l’accordo di contitolarità, pur all’interno di scopi e finalità che sono comuni a tutti loro.
Appare, inoltre, quasi superfluo ricordare che i controlli periodici hanno una duplice finalità:
- verificare il rispetto delle istruzioni date;
- aggiornare tali istruzioni, in funzione, ad esempio, dell’evoluzione tecnologica o dei mutamenti organizzativi dell’imprenditore che possano aver introdotto nuovi trattamenti o una diversa esposizione di rischio per gli interessati.
Le istruzioni del Titolare del trattamento sono, quindi, uno dei principali pilastri su cui si regge il sistema preventivo di protezione dei dati personali modellato dal GDPR che, infatti, sanziona la mancata osservanza da parte del Titolare dell’obbligo di fornire istruzioni precise e di verificarle nel tempo con la sanzione amministrativa pecuniaria fino a 10 milioni di Euro (o 2% del fatturato annuo), oltre, naturalmente, ad esporre il Titolare alle azioni degli interessati volte all’ottenimento del risarcimento del danno in base a quanto prevede l’art. 82 GDPR.
Tutti i fabbricanti ed utilizzatori di modelli prestampati di accordi ex art. 28 GDPR sono avvisati.