Confartigianato, nell’ambito dell’attività volta a facilitare l’adeguamento ai nuovi obblighi da parte delle imprese, ha effettuato un approfondimento, di seguito riportato, circa l’eventuale obbligo da parte delle imprese che effettuano attività di hosting di nominare il Responsabile della protezione dei dati (DPO).
“Relativamente al servizio di hosting provider, si pone il quesito se una impresa che svolga tale attività debba assolvere all’obbligo di nomina del responsabile della protezione dei dati (DPO).
La risposta – in via generale – è negativa in quanto l’attività di hosting non rientra di per sé nei casi previsti dall’articolo dell’art. 37 del Regolamento UE 679/2016 (GDPR), che individua tassativamente i soggetti sottoposti all’obbligo di nomina.
L’attività di hosting, come definita dall’art. 16 del d.lgs. n. 70/03 (in attuazione della direttiva 2000/31/CE sui servizi della società dell’informazione), consiste nella memorizzazione di informazioni fornite da un destinatario del servizio.
Secondo il medesimo articolo, il prestatore non è responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio.
Da ciò si evince che l’attività di hosting, sotto il profilo della privacy, consiste nella mera conservazione dei dati presenti sugli spazi web messi a disposizione, dati dei quali l’impresa che fornisce il servizio (c.d. provider) non conosce il contenuto né la tipologia e non ne ha la disponibilità, non potendo effettuare in via autonoma alcun ulteriore trattamento autonomo.
Nel caso di specie l’impresa fornisce servizi di hosting sui quali transitano i dati dei clienti (e.mail, database di un sito web, ecc), ma non è a conoscenza né della tipologia, né del quantitativo, né della finalità del trattamento di tali dati, limitandosi a garantire il funzionamento tecnico di tali sistemi e a registrare i log tecnici per risalire ad un eventuale problema tecnico.
Non ricorre quindi alcuna delle ipotesi previste dal citato art. 37 del Regolamento per la nomina obbligatoria del DPO ovvero:
-
trattamento effettuato da un’autorità pubblica;
-
attività principale consistente in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
-
attività principale consistente nel trattamento su larga scala di categorie particolari di dati o di dati relativi a condanne penali o reati.
Alla luce di quanto premesso l’attività dell’impresa di hosting si configura piuttosto come quella di responsabile del trattamento ai sensi dell’art. 28 del Regolamento 679/16.
L’attività di conservazione dei dati svolta dall’impresa di hosting è svolta, infatti, per conto e in base alle finalità di chi usufruisce del servizio che rimane a pieno titolo titolare del trattamento.
In conclusione è da escludere che nel caso di specie ricorra l’obbligo per l’impresa di hosting di nominare un responsabile della protezione dei dati (DPO) ai sensi dell’art. 37 del Regolamento UE, profilandosi invece la figura del responsabile del trattamento ai sensi dell’art. 28 del Regolamento.
Ciò comporta che il cliente/titolare del trattamento dovrà designare l’impresa di hosting quale responsabile del trattamento con contratto (o altro atto di nomina) nel quale dovranno essere definite con chiarezza le indicazioni, le finalità e le misure alle quali il responsabile stesso sarà tenuto ad adeguarsi e le limitazioni della tipologia di trattamento che dovrà consistere nella mera conservazione del dato sugli spazi web messi a disposizione”.
Per informazioni contattare i Responsabili del servizio di Confartigianato Cosenza (Daniele Amoroso – Tel. 0984/73955, per i comprensori di Cosenza e Paola; Daniele Aronne – Tel. 0981/27143, per i comprensori di Castrovillari e Rossano).
