Il web hosting può essere considerato Responsabile del Trattamento dei dati personali, in base al GDPR? Ecco qualche utile indicazione per evitare errori
Il servizio di web hosting, su cui sono creati i siti web, è giuridicamente il Responsabile del trattamento dei dati (nel contempo, però, è sempre il titolare del trattamento dei propri dati), in quanto elabora i dati per conto del Titolare. Perciò, è necessario elaborare un vero e proprio contratto scritto tra titolare e web hosting, in cui sarà precisato cosa può fare il web hosting con i dati e quali misure di sicurezza (tecniche e organizzative) deve predisporre, tenendo conto che devono essere adeguate al rischio valutato.
L’hosting dovrà:
1. attenersi alle istruzioni del contratto, anche se rimane una certa discrezionalità, ad esempio nella scelta degli strumenti tecnici ed organizzativi più adatti;
2. conservare il registro dei trattamenti effettuati per conto del cliente (Titolare), in cui includere il nome e i dati di contatto dei titolari del trattamento dei dati, i suoi responsabili e eventuali incaricati, le categorie dei dati trattati, gli eventuali trasferimenti internazionali di dati, e una descrizione generale delle misure di sicurezza tecniche e organizzative adottate;
3. notificare al titolare le eventuali violazioni di dati: è buona prassi inserire questo obbligo anche nel contratto (che diventerà violazione legale e contrattuale). Poiché l’obbligo a carico del titolare di notificare la violazione agli interessati scatta a partire dal momento in cui ne viene a conoscenza (tramite la comunicazione da parte dell’hosting, in questo caso), si può utilizzare lo stesso termine del GDPR (72 ore).
Naturalmente, il web hosting è Responsabile del trattamento con riferimento ai soli trattamenti realizzati per conto del gestore del sito (quale Titolare), cliente dell’hosting. Ma se l’hosting va oltre i limiti del mandato, trattando i dati al di là delle istruzioni ricevute, ne diventa contitolare.