Trasferimento dati all'estero, nuove clausole contrattuali standard dalla Commissione Ue
Un contratto tipo per l'outsourcing: lo ha confezionato la Commissione europea in applicazione del regolamento Ue sulla privacy o Gdpr (n. 2016/679). Lo schema di atto interessa tutti i casi in cui un'impresa o una pubblica amministrazione si serve di un fornitore esterno per servizi che comportano un trattamento di dati per conto del committente.
La casistica è sconfinata, dall'affidamento di servizi amministrativi e contabili alla richiesta di servizi di gestione dei servizi informatici, dalla gestione di contatti con la clientela all'appalto di servizi riguardanti la videosorveglianza o la cura dei siti internet, e così via. In tutti i casi in cui il fornitore esterno tratta dati personali per conto del committente, il Gdpr, all'articolo 28, obbliga alla sottoscrizione di un contratto.
E non si tratta di un adempimento da sottovalutare, perché in mancanza del contratto scatta una sanzione amministrativa, potenzialmente salatissima (fino a 10 milioni di euro o, se superiore, per le imprese fino al 2% del fatturato totale mondiale annuo).
È certamente inconsueto per il diritto italiano, ma siamo di fronte a un caso in cui se non viene stipulato un contratto i due contraenti commettono un illecito amministrativo. Sta di fatto che l'articolo 28 Gdpr al paragrafo 9 impone la forma scritta, al paragrafo 8 stabilisce che ogni garante della privacy di ogni stato europeo può stendere clausole contrattuali tipo, e, infine, al paragrafo 7 statuisce che le clausole contrattuali tipo possono essere elaborate dalla Commissione Ue.
A questo proposito la commissione Ue il 19 novembre 2020 ha licenziato le sue clausole standard, che oltre all'articolato propongono un allegato. Ed è proprio l'allegato la sede in cui le parti devono descrivere in dettaglio le caratteristiche del trattamento dei dati e le misure di sicurezza. L'articolato in alcune disposizioni è una riproposizione parafrasata dell'articolo 28 citato. In altre parti le clausole tipo, invece, precisano alcuni adempimenti, ad esempio stabilendo in 48 ore il termine entro il quale il fornitore esterno deve avvisare il committente di una subita violazione della sicurezza (data breach) impattante sul trattamento affidato.
Va, infine, aggiunto che l'articolato è limitato agli aspetti di privacy e lascia agli interessati la regolamentazione degli aspetti relativi a compensi e responsabilità. Proprio in punto responsabilità, la regola generale del Gdpr è la responsabilità solidale di committente e responsabile esterno di fronte all'interessato.
Rispetto a questa impostazione nella prassi italiana emergono patti di limitazione o di manleva totale, così da concentrare in una delle due parti il rischio di pagare i danni agli interessati. Sono profili questi che, seppure non trattati nelle clausole standard della commissione, sono da considerarsi affidati alla volontà dei contraenti.
Quanto all'ambito di applicazione del contratto relativo alla responsabilità del trattamento va ricordato che si applica anche ai rapporti con le pubbliche amministrazioni, che devono ricordarsi di inserirne uno schema nei documenti delle gare di appalto.
Italia Oggi del 2 dicembre 2020 - di Antonio Ciccia Messina