I mercoledì della privacy: il diritto e il dovere di eseguire un audit di controllo

L'articolo 28 del Gdpr, rubricato “Responsabile del trattamento” prevede che «qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che la procedura soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato».

Il responsabile del trattamento, a sua volta, seguendo le indicazioni previste dal numero 2 dello stesso articolo, con autorizzazione scritta anche generica ottenuta dal titolare del trattamento può ricorre a un altro responsabile (il s ub-responsabile). Nel caso di autorizzazione scritta generale, il responsabile ha il solo obbligo di “informare” il titolare di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili, dando così al titolare l’opportunità di opporsi a tali variazioni.

In ambito condominiale, queste disposizioni stanno a significare che l'amministratore, laddove rivesta il ruolo di responsabile del trattamento perché nominato dal Condominio titolare, ottenuta la delega generica normalmente inserita nella nomina stessa, potrà poi a sua volta nominare i fornitori che assieme a lui trattano i dati dei condòmini, come il gestionale con cui lavora, l'avvocato che si occupa del recupero dei crediti, il commercialista, l'elettricista che interviene sull'impianto citofonico o l'idraulico che deve avere il telefono della condomina per effettuare l'intervento sulla colonna di scarico della verticale nel suo appartamento e così via.

Ma questi atti di nomina a responsabile o sub responsabile al trattamento dei dati (o contratti) devono presentare quelle caratteristiche imposte dall'articolo 28 del regolamento, dettando nello specifico la materia disciplinata, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. All'interno dell'articolo 28, inoltre, al comma 3, si legge che il responsabile del trattamento deve mettere «a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzate dal titolare o da un altro soggetto da questi incaricato». Lo stesso onere spetta al responsabile del trattamento nei confronti del sub responsabile che si intende nominare. Si tratta del diritto/ dovere in capo al soggetto che nomina il responsabile del trattamento a effettuare una verifica sulle attività svolte, che si materializza attraverso una vera e propria Audit.

Il Considerando 81 del Gdpr prevede esplicitamente che il titolare, quando affida delle attività di trattamento a un responsabile che le esegue per suo conto, deve ricorrere unicamente a soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del regolamento, in particolare in termini di conoscenza specialistica, affidabilità e risorse. Ecco allora discendere dal combinato disposto di questi articoli la necessità di effettuare questi controlli preventivi, mediante lo strumento dell'audit o dell'intervista, finalizzata a stabilire in quale misura i criteri prefissati nell'atto giuridico di nomina del fornitore sub responsabile del trattamento siano stati da quest'ultimo soddisfatti.

L'audit in ambito condominiale è un'arma che può utilizzare anche il co-titolare condòmino verso il proprio amministratore responsabile del trattamento nello svolgimento delle attività collegate al mandato ad amministrare ma che deve essere usata anche dall'amministratore quando decide di nominare un soggetto esterno al Condominio per un'attività che prevede anche un trattamento di dati personali dei condòmini. Consente infatti di effettuare il successivo “passaggio” di dati con maggiore tranquillità, stante l'ottenuta garanzia in relazione alla professionalità del soggetto che si va a nominare e poter così scongiurare un illecito trattamento di informazioni che si ripercuoterebbe sul Condominio titolare o l’amministratore stesso, che ne subirebbe le conseguenze in quanto primo responsabile del trattamento.

L'amministratore quindi, contestualmente all'atto di nomina dei sub responsabili, dovrà procedere ad effettuare l'audit, tenendone traccia, a riprova dell'accountability (a dimostrazione, cioè, dell'atteggiamento proattivo verso la norma). Nel silenzio del Gdpr sulle modalità di esecuzione dell'audit, si fa riferimento alla normativa tecnica specifica di riferimento (Uni En Iso 19011), che disciplina gli audit dei sistemi di gestione. Oggetto dell'audit saranno macro-tematiche come l'esistenza di procedure tecniche e organizzative, le misure di sicurezza adeguate al rischio sia in relazione ai luoghi, agli archivi cartacei e informatici, le modalità e finalità di trattamento collegate all'incarico affidato, le procedure di data breach, la sicurezza informatica, il rispetto del principio del data retention (cancellazione e distruzione dei dati a fine trattamento). Se la risposta a queste domande “di garanzia” non arriva o non è convincente, all'amministratore non resta che declinare l'incarico e affidarsi ad altro soggetto più affidabile.