Dagli organismi europei le clausole standard per i contratti con i responsabili del trattamento esterni
Clausole privacy standard a tinte Ue per il contratto di outsourcing. Ogni volta che un'impresa o una pubblica amministrazione o un professionista si avvalgono di un fornitore esterno bisogna firmare un contratto (o atto simile). Il fornitore esterno, con le parole del Regolamento Ue sulla privacy n. 2016/679 (Rgpd), si chiama «responsabile esterno del trattamento» e si applica l'articolo 28 del Rgpd.
Il Garante italiano della privacy spiega che l'atto di designazione del responsabile del trattamento deve essere un contratto (o altro atto giuridico conforme al diritto nazionale) e deve dimostrare che il responsabile fornisce «garanzie sufficienti», quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel Rgpd.
Il citato articolo 28 Rgpd prevede che sia la Commissione europea sia i Garanti nazionali della privacy possano elaborare schemi standard. Lo scopo dovrebbe essere dare una mano agli operatori, tenendo conto del fatto che non fare l'accordo o non farlo correttamente espone al rischio di una sanzione amministrativa pecuniaria potenzialmente molto salata (fino a 10 milioni di euro o il 2% del fatturato mondiale annuo, se superiore, per le imprese).
In questo quadro si sono mossi due organismi europei: il Comitato europeo per la protezione dei dati (Edpb) e il Supervisore europeo della protezione dei dati (Edps).
Edpb ed Edps hanno adottato un parere congiunto (n. 1/2021) e hanno stilato clausole standard del contratto con il responsabile esterno del trattamento. L'elaborato, a dire il vero, non aiuta un granché. Diverse espressioni sono già scritte nel testo di legge. Si tratta di una parafrasi slegata dalla concreta quotidianità delle imprese.
Peraltro, ed è necessario dirlo subito, il problema in questo settore è ancora più a monte: il problema è di capire quando uno è titolare e quando uno è responsabile del trattamento. Tra l'altro si tratta di ruoli che sono presenti nelle norme già da 25 anni e stiamo a discuterne ancora oggi: prova inequivocabile che i testi di legge sono assolutamente inefficaci quanto a chiarezza.
Logico, poi, che a un testo di legge fumoso seguano tentativi interpretativi non esaustivi. Non lo sono nemmeno le linee guida Edpb n. 7/2020, dedicate proprio ai concetti di titolare, contitolare e responsabile, piene di distinguo, di regole generali che valgono solo qualche volta, di eccezioni e di casistiche esasperate.
Peraltro, posto che si sia risolta la questione del ruolo, allora non va dimenticata la stipula del contratto.
Le clausole tipo. Inevitabile, a questo punto, analizzare le clausole tipo stilate da Edpb e Edps, nelle quali gli aspetti più spinosi sono trattati con un richiamo ad una serie di allegati. C'è un allegato per descrivere il trattamento, di cui bisogna sciorinare le finalità, la durata, gli interessati e i tipi di dati.
C'è un altro allegato per dettagliare le misure tecniche e organizzative, cui deve attenersi il fornitore esterno. Questo significa che il fornitore deve avere computer, dispositivi elettronici, reti e organizzazione idonea a proteggere i dati passati dal committente.
Detto così sembra semplice. La questione, invece, è di esattezza della prestazione contrattuale e di strumenti che il fornitore deve assicurare nell'esecuzione delle prestazioni contrattuali. Il rispetto della privacy è un elemento della esattezza della prestazione.
Sempre negli allegati le parti devono dettagliare le modalità con cui il fornitore tratta i dati: quanti e quali dati usa e per quanto tempo deve conservare i dati.
Un altro allegato impone di scrivere le istruzioni del titolare, che non possono essere generiche.
Le istruzioni devono essere più stringenti per i dati particolari (regime di accesso, conservazione, finalità, misure di sicurezza aggiuntive (sistemi di autenticazione forte), formazione ad hoc per gli autorizzati.
A parte il contenuto del contratto va ribadito quanto il ruolo del responsabile del trattamento sia delicato.
Non solo deve eseguire la prestazione contrattuale principale, non solo deve rispettare la privacy nella sua organizzazione, ma deve anche mettere sull'avviso il suo committente se quest'ultimo non è in regola con la privacy.
Poiché, però, tutto è sempre molto complicato può anche capitare che la parte forte del contratto non sia il titolare, ma il responsabile esterno: si pensi ai casi di fornitori di servizi digitali.
In tutti i casi, comunque, ci vuole il contratto e le parti è bene che tengano conto delle clausole standard delle autorità europee.
Fonte: Italia Oggi Sette dell'8 febbraio 2021 - di Antonio Ciccia Messina