Che cosa è un sub-responsabile?

Un sub-processore è un'entità terza incaricata da un elaboratore di dati di gestire dati personali per conto di un titolare del trattamento dei dati. Questa relazione è fondamentale nel contesto del GDPR, in quanto estende le responsabilità della protezione dei dati a qualsiasi parte esterna che un elaboratore potrebbe coinvolgere nelle attività di elaborazione.

Ruoli e responsabilità di un sub-responsabile del trattamento

Ai sensi del GDPR, un sub-responsabile deve rispettare gli stessi obblighi di protezione dei dati che si applicano al responsabile originale. Ciò include garantire che i dati siano elaborati in modo sicuro e solo per gli scopi specificati dal titolare del trattamento dei dati. Il responsabile, a sua volta, deve ottenere il previo consenso scritto del titolare del trattamento prima di coinvolgere un sub-responsabile, rendendo essenziali trasparenza e conformità.

Sub-responsabili e loro obblighi legali

L'uso di sub-responsabili è strettamente regolamentato dal GDPR. Prima che un sub-responsabile possa essere coinvolto, il responsabile del trattamento dei dati deve informare il titolare del trattamento dei dati e ottenere un'autorizzazione specifica. Inoltre, i sub-responsabili devono rispettare i termini dell'accordo di elaborazione dei dati, che li vincola allo stesso livello di protezione dei dati concordato dal responsabile del trattamento con il titolare del trattamento.

Analogia del sub-processore

Abbiamo un bambino, un genitore e un giocattolo. Immaginiamo che il giocattolo sia un dato personale . Il bambino è colui che gioca con il giocattolo, ha accesso al giocattolo e può decidere dove riporlo. Tuttavia, il genitore è il vero proprietario del giocattolo e decide cosa il bambino può fare e cosa non può fare con il giocattolo.

‍

Nella protezione dei dati il giocattolo è il dato, il bambino è il processore e il genitore è il controllore. Ciò significa che il controllore stabilisce le regole su come il processore può utilizzare i dati e il processore deve attenersi a tali regole.

Esempio di sub-processore: Google Drive

I sub-processori sono comuni in vari settori in cui sono richiesti servizi specializzati. Ad esempio, supponiamo che tu utilizzi Google Drive. Google Drive (processore) sceglie in quali server archiviare i dati, quali misure di sicurezza adottare, ma alla fine sei tu a decidere quali dati caricare su Google Drive, quando modificarli e quando rimuoverli , rendendoti il controllore.

Nota: un processore non deve necessariamente archiviare dati personali per essere considerato tale; la semplice trasmissione o l'accesso ai dati è sufficiente. Ad esempio, anche strumenti di integrazione come Zapier o Integromat sono considerati processori.

In che cosa un sub-responsabile si differenzia da un responsabile del trattamento?

Un processore è una parte che elabora dati personali per conto del titolare del trattamento, seguendo direttamente le istruzioni del titolare. Al contrario, un sub-processore è una terza parte incaricata dal processore di eseguire specifiche attività di elaborazione per conto del titolare.

Mentre il processore ha una relazione diretta con il titolare del trattamento, il sub-processore viene coinvolto dal processore per gestire determinati aspetti dell'elaborazione dei dati. Entrambi sono vincolati dai requisiti del GDPR, ma i loro ruoli e responsabilità differiscono in base alla loro relazione con il titolare del trattamento dei dati.

Esempio : supponiamo che Google Drive utilizzi Amazon Web Services per gestire i propri server e Mailchimp per inviarti un'e-mail quando qualcuno ti concede l'accesso a un file. In questo scenario, Amazon Web Services e Mailchimp sono processori di Google Drive.

Quando utilizziamo un processore come Google Drive, chiamiamo sub-processori i processori che utilizzano per fornirti un servizio (in questo caso Amazon Web Services e Mailchimp).

Riassumendo: i sub-responsabili sono gli incaricati dei vostri incaricati.

Perché è importante sapere chi sono i tuoi sub-responsabili?

Se nella tua azienda svolgi la funzione di responsabile del trattamento (la maggior parte dei SaaS sono responsabili del trattamento), allora devi avere un Contratto di elaborazione dei dati , ovvero un accordo richiesto dalla legge che stabilisce le tue responsabilità e quelle del titolare del trattamento.

In questo accordo devi specificare chi sono i tuoi elaboratori, poiché saranno sub-elaboratori per i tuoi clienti. Dovrai anche includere: lo scopo per cui coinvolgi queste aziende e i paesi in cui i dati vengono elaborati.

Nel nostro esempio, nel Contratto di elaborazione dei dati, Google Drive avrà:

Punti chiave e conclusione

In questo articolo ti abbiamo aiutato a comprendere le seguenti informazioni sui sub-responsabili:

• I sub-responsabili sono terze parti ingaggiate dai responsabili del trattamento per gestire i dati personali per conto dei titolari del trattamento, ampliando le responsabilità del GDPR.
• Devono rispettare gli stessi obblighi di protezione dei dati dei responsabili del trattamento, tra cui l'ottenimento dell'autorizzazione e il rispetto degli accordi sul trattamento dei dati.
• Una corretta gestione dei sub-responsabili garantisce conformità, trasparenza e protezione dei dati personali, riducendo i rischi organizzativi.

Sub-responsabili - FAQ

Qual è il ruolo principale di un sub-responsabile?

Un sub-processore assiste il processore primario gestendo specifiche attività di elaborazione dati per conto del titolare del trattamento dati. Devono seguire le stesse regole di protezione dati del processore primario.

Un sub-responsabile deve essere conforme al GDPR?

Sì, i sub-responsabili devono rispettare le normative GDPR e garantire che i dati personali siano trattati in modo sicuro e in conformità al contratto stabilito tra il titolare del trattamento e il responsabile principale del trattamento.

È possibile coinvolgere un sub-responsabile del trattamento senza il consenso del titolare del trattamento?

No, il titolare del trattamento deve fornire il consenso scritto preventivo prima che un responsabile del trattamento possa avvalersi di un sub-responsabile.

Cosa succede se un sub-responsabile non rispetta il GDPR?

Se un sub-processore non rispetta il GDPR, il processore primario potrebbe essere ritenuto responsabile e il sub-processore potrebbe dover affrontare delle sanzioni. È fondamentale che sia il processore che il sub-processore mantengano la conformità al GDPR.

I sub-responsabili sono comuni in tutti i settori?

I sub-responsabili vengono utilizzati in molti settori, in particolare quando sono necessari servizi specializzati, come nel cloud computing, nell'analisi dei dati e nei servizi di marketing.