Nomina a Responsabile del Trattamento (Art. 28 GDPR)

La Nomina a Responsabile del Trattamento (Art. 28 GDPR) in Italia è l'atto disciplinato da Reg. UE 2016/679 art. 28; D.Lgs. 196/2003 (Codice Privacy); Decisione CE 2021/914 (SCC).

La Nomina a Responsabile del Trattamento in Italia si distingue dall'Informativa Privacy (che si rivolge all'interessato finale) e dal Registro dei Trattamenti (documento interno del titolare): è un contratto B2B tra il titolare e il suo fornitore di servizi, che regola i diritti e le obbligazioni di entrambe le parti in materia di protezione dei dati personali. Il Garante per la protezione dei dati personali, nelle proprie linee guida e provvedimenti, ha più volte sottolineato l'obbligo di formalizzare tutti i rapporti con i responsabili del trattamento con un contratto conforme all'art. 28 GDPR, indipendentemente dalla dimensione dell'azienda fornitrice e dalla natura della prestazione — che sia hosting, consulenza contabile, marketing digitale o sviluppo software. Forms-legal.com mette a disposizione questo template aggiornato alle Clausole Contrattuali Standard della Commissione Europea (Decisione di esecuzione 2021/914) per i trasferimenti verso responsabili extra-UE, con moduli specifici per il rapporto titolare-responsabile (Modulo 2) e responsabile-sub-responsabile (Modulo 4), conforme alle Raccomandazioni EDPB 01/2020 sulle misure supplementari.

La Nomina a Responsabile del Trattamento ex art. 28 GDPR in Italia è necessaria ogni volta che un titolare del trattamento affida a un soggetto esterno attività che comportano il trattamento di dati personali per conto del titolare. Le situazioni più frequenti in cui tale nomina è obbligatoria comprendono: utilizzo di software gestionale in cloud (ERP, CRM, contabilità) accessibile dal provider e dai suoi collaboratori; affidamento dell'elaborazione paghe a uno studio di consulenza del lavoro o a una società specializzata; utilizzo di piattaforme di email marketing (Mailchimp, Sendinblue, ActiveCampaign, HubSpot, Brevo) per l'invio di comunicazioni commerciali o transazionali; utilizzo di servizi di hosting e storage in cloud (AWS, Azure, Google Cloud, Hetzner, OVHcloud) dove risiedono dati degli interessati; incarico a un call center per la gestione delle richieste dei clienti; utilizzo di sistemi di videosorveglianza gestiti da un operatore di sicurezza esterno; affidamento a un'agenzia di marketing digitale che accede al CRM, agli analytics o ai dati di targeting del titolare.

La nomina va stipulata prima dell'avvio del trattamento, non in corso d'opera o a posteriori. Qualsiasi contratto di servizi con un fornitore che abbia accesso a dati personali dei clienti, dipendenti o utenti del titolare deve includere o avere allegata la nomina ex art. 28 GDPR. Il mancato rispetto di questo obbligo espone il titolare — non il responsabile — alla sanzione del Garante privacy, oltre alla responsabilità solidale per i danni subiti dagli interessati ai sensi dell'art. 82 GDPR. La nomina è altresì necessaria nei rapporti infragruppo: anche una capogruppo che accede ai dati personali delle controllate (es. per la gestione delle HR centralizzata o per la reportistica finanziaria consolidata) deve ricevere nomina ex art. 28 GDPR dalla controllata titolare del trattamento, a meno che non sussistano i presupposti per la contitolarità ai sensi dell'art. 26 GDPR.

Nei rapporti con le pubbliche amministrazioni italiane (Agenzia delle Entrate, INPS, INAIL, Camera di Commercio) il fornitore che processa i dati per conto dell'ente pubblico riceve di norma la nomina a responsabile esterno del trattamento, disciplinata anche dalle Linee guida AgID e dal Codice dell'Amministrazione Digitale (D.Lgs. 82/2005). Il Garante per la protezione dei dati personali, nei propri provvedimenti sanzionatori, ha più volte evidenziato che la presenza di un DPA (Data Processing Agreement) unilaterale del provider non è sufficiente se non è stato personalizzato con le specifiche istruzioni del titolare e firmato da entrambe le parti, come richiesto dall'art. 28, par. 3 e 9 GDPR.

Un contratto di Nomina a Responsabile del Trattamento conforme all'art. 28 GDPR e alle linee guida dell'EDPB (European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR) deve contenere elementi specifici e non può essere sostituito da una semplice informativa o da una clausola contrattuale generica inserita nel contratto di servizi. Il primo elemento obbligatorio è la descrizione dettagliata del trattamento: oggetto specifico del trattamento (es. 'gestione della piattaforma SaaS di email marketing'), durata (pari al contratto principale di servizi), natura delle operazioni (raccolta, archiviazione, trasmissione, consultazione), finalità (le stesse del titolare, mai del responsabile che non può usare i dati per fini propri), tipologie di dati personali (anagrafici, di contatto, dati di navigazione), categorie di interessati (clienti, dipendenti, lead).

Il secondo elemento è l'elenco delle istruzioni del titolare al responsabile: il responsabile deve agire solo nel perimetro definito dalle istruzioni scritte del titolare; qualsiasi trattamento non autorizzato lo renderebbe contitolare o autonomo titolare con tutte le conseguenti responsabilità. Il terzo elemento è la lista delle misure di sicurezza adottate dal responsabile ex art. 32 GDPR: crittografia dei dati in transito (TLS 1.2+) e a riposo (AES-256), pseudonimizzazione, controllo accessi con autenticazione a due fattori, procedure di backup e disaster recovery, penetration test periodici, certificazioni ISO 27001 o SOC 2 Type II se applicabili. Il quarto elemento è la disciplina dei sub-responsabili: elenco allegato aggiornabile con preavviso di 30 giorni al titolare, diritto di opposizione del titolare, obbligo di flow-down degli obblighi GDPR verso i sub-responsabili. Forms-legal.com include nel template allegato la lista dei principali sub-responsabili tecnologici (AWS, Google, Stripe) con i relativi paesi di stabilimento. Il quinto elemento riguarda i diritti degli interessati: il responsabile deve assistere il titolare nel rispondere alle richieste degli interessati ex artt. 15–22 GDPR entro i termini di legge (30 giorni). Il sesto è la procedura di data breach: obbligo di notifica al titolare entro 24 ore dalla scoperta, con contenuto minimo conforme all'art. 33.3 GDPR.

Per compilare correttamente la Nomina a Responsabile del Trattamento ex art. 28 GDPR in Italia è necessario raccogliere le informazioni su entrambe le parti e sulla natura specifica del trattamento affidato al fornitore. Nella sezione titolare del trattamento inserire: denominazione sociale completa, sede legale con indirizzo completo, partita IVA a 11 cifre, numero REA e Camera di Commercio di iscrizione, indirizzo PEC attivo, nome e recapiti del legale rappresentante e/o del referente privacy designato (responsabile interno o DPO se nominato). Nella sezione responsabile del trattamento inserire gli stessi dati identificativi per il fornitore, aggiungendo il nome e i contatti del DPO del responsabile se nominato — questa informazione è necessaria per le comunicazioni in caso di data breach o richieste degli interessati.

Nella sezione oggetto e natura del trattamento descrivere con precisione: quale prestazione di servizi è affidata al responsabile (es. 'fornitura di piattaforma SaaS per la gestione delle relazioni con i clienti — CRM', oppure 'elaborazione delle buste paga e gestione degli adempimenti previdenziali INPS/INAIL'); quali operazioni di trattamento svolge il responsabile (raccolta, archiviazione, elaborazione, trasmissione, cancellazione — specificare solo quelle realmente effettuate); quali categorie di dati personali vengono trattate (anagrafici, di contatto, di pagamento, di comportamento online, di salute se applicabili) e quali categorie di interessati sono coinvolte (clienti, dipendenti, prospect, fornitori). Nella sezione misure di sicurezza descrivere le misure adottate dal responsabile ex art. 32 GDPR, richiedendo al responsabile di allegare la propria politica di sicurezza informatica o la documentazione delle certificazioni ISO 27001, SOC 2 Type II se disponibili. Nella sezione sub-responsabili inserire o allegare la lista dei fornitori terzi (sub-processori) utilizzati dal responsabile che a loro volta trattano i dati del titolare, con paese di stabilimento. Nella sezione trasferimenti extra-UE indicare la garanzia adottata (Clausole Contrattuali Standard Decisione 2021/914, Data Privacy Framework UE-USA per provider certificati) per ciascun trasferimento verso paesi non coperti da decisione di adeguatezza della Commissione Europea. Concludere con durata allineata al contratto di servizi principale, legge applicabile (legge italiana e giurisdizione del Tribunale competente), data, firma autografa del titolare e controfirma del responsabile.

La Nomina a Responsabile del Trattamento ex art. 28 GDPR in Italia deve rispettare i requisiti dell'art. 28 del Reg. UE 2016/679, applicabile direttamente in tutta l'UE dal 25 maggio 2018. L'art. 28, par. 3 impone che il contratto contenga obbligatoriamente le seguenti clausole: obbligo del responsabile di trattare i dati personali soltanto su istruzione documentata del titolare; obbligo di riservatezza dei soggetti autorizzati al trattamento; adozione di misure di sicurezza adeguate ex art. 32 GDPR; rispetto delle condizioni per il ricorso a sub-responsabili; assistenza al titolare nell'esercizio dei diritti degli interessati (artt. 15–22 GDPR); assistenza al titolare per la sicurezza, le notifiche di data breach, la DPIA e la consultazione preventiva; cancellazione o restituzione dei dati al termine del contratto; messa a disposizione delle informazioni necessarie per dimostrare la conformità e consentire audit. L'art. 28, par. 9 stabilisce che il contratto deve essere stipulato in forma scritta, incluso il formato elettronico. L'art. 83, par. 4 GDPR sanziona la violazione degli obblighi ex art. 28 con sanzioni fino a € 10.000.000 o al 2% del fatturato mondiale annuo totale dell'esercizio precedente.

Per i trasferimenti di dati verso responsabili stabiliti in paesi terzi non coperti da decisione di adeguatezza della Commissione Europea, il titolare deve adottare garanzie appropriate ex art. 46 GDPR: le Clausole Contrattuali Standard (SCC) nella versione aggiornata dalla Decisione di esecuzione 2021/914 della Commissione Europea, che include moduli specifici per il rapporto titolare-responsabile (Modulo 2) e responsabile-sub-responsabile (Modulo 4); il Data Privacy Framework UE-USA (DPF, adottato con Decisione di adeguatezza della Commissione il 10 luglio 2023) per i trasferimenti verso operatori USA certificati al registro DPF; le Norme vincolanti d'impresa (BCR, Binding Corporate Rules) per i trasferimenti infragruppo verso paesi terzi. L'EDPB ha pubblicato le Raccomandazioni 01/2020 sulle misure supplementari per i trasferimenti extra-UE (crittografia end-to-end, pseudonimizzazione), richiedendo anche la conduzione di un Transfer Impact Assessment (TIA) per ogni paese terzo di destinazione. Il Garante per la protezione dei dati personali italiano ha sanzionato più aziende per nomina mancante o carente ex art. 28 GDPR — tra i provvedimenti più noti: il provvedimento del 9 giugno 2022 nei confronti di un comune che non aveva nominato responsabile il fornitore SaaS della piattaforma di e-government, con sanzione di € 10.000. Tutti i provvedimenti sono pubblicati nella banca dati garanteprivacy.it.

Tra gli errori più frequenti nella gestione delle nomine ex art. 28 GDPR in Italia vi è la mancata mappatura completa dei responsabili del trattamento: molte aziende stipulano la nomina con il fornitore del CRM o della piattaforma di email marketing, dimenticando provider cloud (AWS, Azure, Google Cloud), servizi di analisi del traffico web (Google Analytics 4, Adobe Analytics), strumenti di comunicazione interna (Slack, Microsoft Teams, Zoom), piattaforme di pagamento e gestione dei gateway (Stripe, PayPal, Nexi, Satispay), studi commercialisti, consulenti del lavoro e studi legali che accedono ai dati dei dipendenti o dei clienti. Tutti questi soggetti devono avere la nomina ex art. 28 GDPR in forma scritta, stipulata prima che il trattamento abbia inizio.

Un secondo errore comune è utilizzare DPA generici forniti unilateralmente dal responsabile (il c.d. 'click-through DPA' di Google o AWS) senza verificare che contengano tutte le clausole obbligatorie dell'art. 28 GDPR e siano personalizzati con le istruzioni specifiche del titolare. Un terzo errore è non aggiornare la nomina quando cambiano i sub-responsabili del provider: se il fornitore SaaS cambia provider cloud o introduce un nuovo sub-processor, deve informare il titolare con preavviso, che può opporsi. Altre insidie ricorrenti: non prevedere il diritto di audit del titolare sul responsabile (clausola spesso omessa per 'imbarazzo commerciale', ma obbligatoria ex art. 28.3.h GDPR); non definire una procedura di data breach con tempistiche chiare (24 ore per la notifica al titolare è la prassi raccomandata dal Garante); non includere le clausole di cancellazione/restituzione dei dati al termine del contratto; qualificare erroneamente come responsabile del trattamento un soggetto che è in realtà contitolare, con conseguente inapplicabilità delle tutele ex art. 28 GDPR.