Rischio sanzioni privacy anche per la società esterna. Lo scudo è nelle clausole dei contratti col committente
Rischio privacy per i fornitori di servizi informatici e non solo. Se trattano dati per conto di un committente, pagano di tasca loro per le violazioni del Gdpr (regolamento UE n. 2016/679 sulla protezione dei dati personali). E la responsabilità autonoma per i fornitori ha effetti a cascata sui compensi e sui rapporti contrattuali. La prospettiva di ricevere una sanzione di importo elevato dal Garante può, infatti, incidere sia sull'ammontare del corrispettivo sia sulla specificazione delle prestazioni dovute.
Sono le conseguenze dei principi del Gdpr applicati dalle ingiunzioni del Garante della privacy, tra cui la n. 66 dell'8 febbraio 2024, con la quale è stato sanzionato autonomamente il fornitore di servizi IT di una banca. Committente e fornitore, in effetti, hanno interessi fortemente confliggenti: il primo vuol spendere di meno e scaricare sul fornitore le responsabilità privacy, mentre il fornitore ha interesse ad avere un margine di guadagno, scontando l'alea delle sanzioni, e ad assumersi meno incombenze. E questa contrapposizione viene irrigidita proprio dal pericolo sanzionatorio.
Ma le soluzioni si possono trovare nelle clausole dei contratti conclusi tra committenti e fornitori.
Il caso. Il Garante della privacy, con il provvedimento n. 65 dell'8 febbraio 2024, ha irrogato una sanzione di 2,8 milioni di euro a una banca per una violazione di dati personali avvenuta nel 2018, che ha coinvolto migliaia di clienti ed ex clienti. Si è trattato di un attacco informatico a tappeto, sferrato al portale di mobile banking da cybercriminali, che hanno portato via un bottino di dati di 778 mila clienti ed ex clienti e il Pin di accesso di oltre 6.800 clienti.
In parallelo il Garante ha sanzionato (multa di 800 mila euro) anche la società incaricata dalla banca di effettuare i test di sicurezza. Al fornitore esterno sono state rimproverate due violazioni del Gdpr: avere comunicato alla banca in ritardo rispetto al termine previsto dal Gdpr l'avvenuta violazione dei dati personali dei clienti; avere subappaltato parte del servizio a una terza società, senza l'autorizzazione preventiva alla banca, che invece aveva espressamente vietato l'affidamento a terze parti di tali attività.
I principi. Il Garante, nel motivare la sanzione al responsabile esterno, ha sottolineato che, nel caso in cui si verifichi una violazione dei dati personali (data breach), è vero che il committente (titolare del trattamento) conserva la responsabilità generale per la protezione dei dati personali, ma è anche vero che il fornitore esterno (responsabile del trattamento) svolge comunque un ruolo fondamentale per consentire al titolare di adempiere tempestivamente e adeguatamente agli obblighi previsti dagli articoli da 32 a 36 del Gdpr (notifica dell'incidente al Garante, comunicazione dell'accaduto agli interessati).
Il principio, applicato dal Garante della privacy in un caso di data breach, può essere esteso anche ad altre possibili violazioni del Gdpr.
Si pensi, per esempio, ai rapporti con gli interessati e, quindi, alla mancata assistenza del fornitore in caso di richiesta di esercizio dei diritti. Oppure può trattarsi dei rapporti con il Garante a proposito di richieste di informazioni dell'autorità a proposito di una segnalazione o di un reclamo. Oppure, ancora, si pensi a ipotesi in cui il trattamento è avvenuto senza la raccolta del consenso o in assenza di altra base giuridica necessaria per svolgere le operazioni di trattamento.
Contratto doppio. Per analizzare la questione occorre considerare che, quando un'impresa, un professionista o una pubblica amministrazione conferiscono l'incarico per un servizio a un fornitore esterno, con quest'ultimo intercorrono due rapporti contrattuali, che molto spesso danno luogo alla sottoscrizione di separati atti.
Il primo riguarda il merito della fornitura (per esempio servizi IT, erogazione di servizi all'utenza e alla clientela, effettuazione di servizi amministrativi e contabili e così via).
Il secondo rapporto è specifico per la disciplina dei flussi di dati personali, in entrata e in uscita, connessi alla fornitura principale: committente e fornitore si scambiano informazioni sul conto di clienti, utenti, dipendenti, persone interessate al servizio e così via.
Questa disciplina deve essere contenuta in un apposito contratto da concludere necessariamente per iscritto; il fornitore prende il nome di responsabile del trattamento e assume tutti gli obblighi previsti in generale dall'articolo 28 del Gdpr, da specificare nelle clausole del contratto.
Obblighi del fornitore. Tra gli obblighi del fornitore, relativi al trattamento dei dati, l'articolo 28 Gdpr elenca i seguenti: eseguire le istruzioni del committente, garantire la riservatezza dei dati da parte dei dipendenti, adottare le misure di sicurezza, assistere il fornitore nei rapporti con gli interessati e in caso di data breach, individuare un subfornitore solo previa autorizzazione del committente, farsi ispezionare da quest'ultimo e restituire i dati alla cessazione del rapporto.
Uno specifico obbligo a carico del fornitore è, poi, informare immediatamente il committente quando quest'ultimo gli impartisce un'istruzione che viola il regolamento.
Tutti questi obblighi a carico del responsabile del trattamento sono particolarmente severi, perché in caso di violazione scattano le sanzioni previste dall'articolo 83 del Gdpr. Si tratta di sanzioni particolarmente temibili, visto che possono arrivare fino a 20 milioni di euro.
Peraltro, proprio sui profili relativi al trattamento dei dati, possono nascere attriti e incomprensioni tra committente e fornitore. E questo soprattutto quando c'è una sanzione privacy in arrivo.
Committente e fornitore tenteranno di addossarsi la colpa a vicenda non solo per tentare di sottrarsi dalle responsabilità di fronte al Garante, ma anche per non rimetterci negli inevitabili strascichi successivi. Una sanzione irrogata al fornitore sarà utilizzata dal committente quale prova dell'inadempimento contrattuale del fornitore stesso per poi chiedere, così, il risarcimento di un eventuale danno patito.
Si deve considerare, inoltre, che committente e fornitore sono responsabili in solido per i danni causati alla privacy di un interessato (per esempio di un cliente o di un dipendente), ma nei rapporti interni opera la rivalsa in base alle quote di responsabilità e anche su questo si può entrare in conflitto.
La possibilità di rapporti conflittuali aumenta se si considera che le disposizioni del Gdpr non sono sempre chiare e definite e aumenta ancora di più se anche le clausole contrattuali rimangono nel vago.
Problemi da gestire. Questi aspetti possono portare a un rapporto difficile nella fase di esecuzione del contratto. Si possono immaginare situazioni in cui il fornitore e il committente litigano sulle istruzioni: se sono state date oppure no, se sono documentate oppure no, se sono precise o vuote di contenuti. Oppure, sempre a titolo esemplificativo, si può ipotizzare che il fornitore abbia remore a replicare con un no a un'istruzione del committente, che valuta in contrasto con il Gdpr, nel timore di perdere l'incarico o il rinnovo dell'incarico. E questo espone a rischio sanzione e risarcimento del danno sia il fornitore sia il committente.
Soluzioni. Proprio il contratto, peraltro, è la sede in cui gestire i possibili problemi. La responsabilità, cui si espone il fornitore e reciprocamente il committente, può essere gestita con alcune variabili contrattuali, tra cui il prezzo o clausole di manleve.
Si può considerare una quota del corrispettivo a compenso della responsabilità giuridica che ci si assume. Si possono favorire condotte collaborative con clausole premiali e disincentivare quelle negligenti con clausole penali. Si possono valutare clausole di manleva dalla responsabilità per danni a terzi, con un limite di importo, fissato in base agli equilibri contrattuali, collegandolo all'importo del corrispettivo, eventuale come base di calcolo in rapporto proporzionale alla possibile esposizione.
Peraltro, una più efficace gestione contrattuale si ottiene con una analiticità dei compiti e dei requisiti chiesti al fornitore.
I problemi più grossi si rilevano quando il contratto di responsabilità del trattamento è una mera trascrizione dell'articolo 28 Gdpr, senza scendere nei particolari del flusso dei dati, dei mezzi da usare per il trattamento, delle prestazioni e dei tempi delle stesse.
Lo scudo più efficace, sia per il fornitore che per il committente, è un contratto dettagliato.
Fonte: Italia Oggi - di Antonio Ciccia Messina