Dalla Commissione Ue le clausole contrattuali tipo per titolari e responsabili del trattamento
Ispezioni privacy dei committenti sui fornitori esterni (responsabili del trattamento), ma con un ragionevole preavviso: è una delle previsioni delle clausole standard dei contratti di outsourcing di trattamenti, approvate il 4 giugno 2021 dalla Commissione Ue, in attuazione dell'articolo 28, paragrafo 7, del regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr). Il testo delle clausole contrattuali tipo (in gran parte una dettagliata parafrasi dell'articolo 28 Gdpr) prevede anche una serie di allegati, in cui bisogna descrivere analiticamente finalità e modalità dei trattamenti.
Il provvedimento in esame si applica in tutti i casi in cui un'impresa, un professionista o una pubblica amministrazione (titolari del trattamento) si rivolgono a un fornitore esterno (chiamato responsabile del trattamento) per l'acquisizione di un servizio, quando ciò implica uno scambio di dati (ad esempio di clienti o dipendenti). Può trattarsi, ad esempio, dell'affidamento di servizi informatici o digitali o di adempimenti per il personale (elaborazione paghe) e così via.
Quando, dunque, un fornitore esterno tratta dati per conto del proprio committente, ci deve essere tra loro un contratto scritto. Di ciò deve ricordarsi l'ente pubblico quando elabora gli atti di una gara d'appalto.
Non è sempre facile capire quando un soggetto esterno sia un responsabile del trattamento o quando agisca per un interesse proprio: una mano a risolvere i dubbi viene dalle Linee Guida n. 7/2020 del Comitato europeo per la protezione dei dati. Peraltro, quando il fornitore agisce come responsabile esterno, allora, bisogna scrivere il contratto: altrimenti scatta una sanzione amministrativa, che arriva fino a 10 milioni di euro, già applicata in Italia in più occasioni.
Per essere in regola con il citato articolo 28, la commissione Ue ha predisposto clausole tipo, tra le quali spiccano quelle sulle prerogative del titolare: ad esempio il potere di fare ispezioni, anche presso la sede del fornitore, al fine di controllare che i trattamenti dei dati rispettino le istruzioni impartite. L'articolato richiede, però, che le ispezioni avvengano con un congruo preavviso. Inoltre, il fornitore dovrà garantire al committente di avere vincolato il proprio personale alla riservatezza dei dati.
Da segnalare la minuziosità delle informazioni da inserire negli allegati al contratto, dedicati alla descrizione dei dati, degli interessati, del periodo di conservazione, delle misure di sicurezza informatiche e fisiche. Allontanarsi da questi standard significa rischiare la sanzione di cui si è detto, anche se nella pratica ci saranno non pochi problemi applicativi, quando il fornitore (ad esempio una grande società di servizi IT) è la parte contrattuale più forte e il titolare è la parte debole (ad esempio una pmi o un piccolo comune). Infine, nulla è detto, ma è lasciato alla discrezione delle parti, l'inserimento di eventuali clausole di limitazione della responsabilità e di manleve rispetto a richieste danni degli interessati.
Fonte: Italia Oggi dell'8 giugno 2021 - di Antonio Ciccia Messina