Ransomware: che fare?
28 Giugno 2021
Cybersecurity per la Blockchain e la Blockchain per la cybersecurity (3/3)
5 Luglio 2021

Arrivano le clausole contrattuali tipo dalla Commissione Europea

L’importanza dei partner

Quando si sceglie un partner bisogna stare attenti: il rapporto deve basarsi sulla fiducia. Di solito, nei nostri rapporti personali, scegliamo il partner dopo una lunga frequentazione e gli affidiamo una parte dei nostri segreti, dei nostri sogni, della nostra vita solo quando abbiamo la certezza che sia ridotto al minimo il rischio che ci maltratti. Queste scelte, di solito, hanno quattro caratteristiche:

  • le facciamo in modo poco consapevole, diremmo quasi “naturale”, “istintivo”;
  • non esiste un “regolamento” del rapporto; tra amici o tra fidanzati la relazione si evolve spontaneamente senza formalizzazioni (o formalismi) che specifichino gli obblighi reciproci;
  • esistono momenti di “alti” e “bassi” ovvero situazioni in cui possiamo avere l’impressione che il partner non si comporti come dovrebbe;
  • non si stabiliscono a priori le condizioni (di tempo, di spazio o di altro genere) al cui verificarsi il rapporto si interromperà.

L’importanza della scelta del partner, invece, nella vita professionale risponde a criteri molto diversi. Occorre che

  • la scelta sia consapevole e ragionata;
  • il rapporto sia formalizzato e disciplinato nelle rispettive “obbligazioni”;
  • il rapporto si mantenga su livelli “accettabili” lungo l’intera durata senza che ci siano “cadute” che possano danneggiare l’uno o l’altro dei soggetti coinvolti;
  • siano sempre (o quasi) stabilite condizioni che portano alla “interruzione” del rapporto (durata del contratto, clausole risolutive, ecc.).

Queste caratteristiche diventano essenziali quando il partner professionale è un soggetto al quale vengono affidate una o più operazioni di trattamento di dati personali (tutti i dati personali, non solo quelli sensibili…). Com’è noto, questo soggetto assume, secondo il Reg. UE 2016/679[i] (d’ora in poi GDPR), il ruolo di Responsabile del Trattamento ai sensi dell’art. 28 che, al suo primo paragrafo, prevede che

Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato

Già il primo paragrafo obbliga il titolare a scegliere oculatamente il responsabile del trattamento solo tra quelli che possono assicurargli che i dati personali non siano maltrattati cioè che non siano trattati in modo difforme da quanto previsto dal GDPR.

L’attenzione del Garante per la Protezione dei Dati Personali

Il richiamo, dunque, è forte ma, al contempo, molto sottovalutato. Lo dimostrano i frequenti provvedimenti sanzionatori diretti a soggetti pubblici che, nella loro qualità di titolari del trattamento, non scelgono adeguatamente il responsabile[ii][iii] o, addirittura, non sono nemmeno consapevoli che il proprio partner assumerà quel ruolo[iv] e, con questo, tutto ciò che il GDPR prevede.

In proposito, dunque, occorre ricordare sempre che

  • dato personale è definito come “qualsiasi informazione riguardante una persona fisica identificata o identificabile” e che i dati personali vanno tutti protetti;
  • trattamento è definito come “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali”.

Quindi, proprio per evitare spiacevoli inconvenienti, queste definizioni, apparentemente scontate, devono accompagnare sempre i momenti precedenti l’approvvigionamento ovvero la scelta del partner da parte del titolare. Bisogna domandarsi:

  • il mio partner avrà a che fare con dati personali di cui sono titolare?
  • Il mio partner effettuerà operazioni di trattamento sui dati personali (ricordando che il GDPR cita come operazione di trattamento anche la sola “consultazione”)?

Se la risposta è “si” ad entrambe le domande, il partner assumerà il ruolo di responsabile del trattamento ed è necessario avviare un percorso strutturato per poterlo scegliere.

L’attenzione del Comitato Europeo per la Protezione dei Dati Personali

Un primo percorso strutturato per la scelta del responsabile del trattamento è indicato nelle “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”[v] adottate dal Comitato Europeo per la Protezione dei Dati Personali (EDPB) il 2 settembre 2020.

Gli assi principali indicati dall’EDPB sui quali è opportuno basare la scelta del responsabile sono:

  • l’esperienza precedente nel trattamento dei dati che il titolare intende affidargli;
  • l’affidabilità del soggetto correlata ai comportamenti assunti in precedenti trattamenti analoghi;
  • la solidità del soggetto in termini di risorse di cui dispone per il trattamento.

Questi elementi, ovviamente, vanno declinati in requisiti oggettivi e concretamente misurabili, soprattutto quando il titolare è un soggetto pubblico e, quindi, vincolato a specifiche disposizioni normative in materia di approvvigionamento[vi].

Il ciclo dell’approvvigionamento in ambito pubblico

Infatti, i soggetti pubblici sono vincolati ad approvvigionarsi secondo le previsioni del D.Lgs. 50/2016 (Codice dei contratti pubblici) che, in termini schematici, prevede una rigida attuazione delle seguenti fasi:

  • delibera a contrarre;
  • scelta del contraente;
  • formalizzazione del contratto;
  • esecuzione del contratto.

In realtà, la formalizzazione del contratto è, spesso, una semplice ricaduta dei contenuti e dei risultati delle prime due fasi. Per intenderci, tutto ciò che è scritto nei cosiddetti “atti di gara” (fase di scelta del contraente) verrà ripreso integralmente nel contratto finale. Questo vuol dire che, già nelle prime fasi dell’approvvigionamento, il titolare deve:

  • fare scelte ragionate e consapevoli, con particolare riguardo ai rischi per i dati personali, e, quindi, definire i requisiti opportuni ed i criteri di valutazione adeguati rispetto ad esperienza precedente, affidabilità e solidità;
  • disciplinare le obbligazioni reciproche rispetto al trattamento;
  • specificare le conseguenze per livelli di servizio “non accettabili” rispetto al trattamento dei dati personali (p.e. penali specifiche per comportamenti difformi dal GDPR o da istruzioni sui dati personali e che si aggiungono alle penali ordinariamente previste per le violazioni delle prestazioni oggetto del contratto);
  • individuare le condizioni che possono causare l’interruzione della partnership.

Naturalmente, se questi sono gli elementi essenziali da considerare, sarà opportuno che il titolare tenga a mente, sin dalle fasi di avvio dell’approvvigionamento, l’intero art. 28 del GDPR e, in particolare, i contenuti dei paragrafi 3 e 4.

Le clausole contrattuali tipo

Considerata l’importanza della questione e l’impegno che viene richiesto al titolare, lo stesso art. 28, al paragrafo 7, prevede che la Commissione Europea stabilisca clausole contrattuali tipo (Standard Contractual Clauses – SCCs) che forniscano la traccia su cui basare gli accordi con il responsabile del trattamento.

La Commissione ha assunto la conseguente decisione 2021/915[vii] lo scorso 4 giugno dopo aver acquisito il parere congiunto del Comitato Europeo per la Protezione dei Dati Personali e del Garante Europeo per la Protezione dei Dati Personali (EDPS)[viii]. La decisione assume vigenza a partire dal 27 giugno 2021 visto che è stata pubblicata nella Gazzetta Ufficiale Europea il 7 giugno.

Le clausole contenute nella decisione 915 sono dieci cui si aggiungono quattro allegati (e non più sette come previsto nella prima bozza sottoposta al parere congiunto EDPB‑EDPS); coprendo tutti gli obblighi previsti dall’art. 28, il titolare dovrebbe trovare il modo di inserirle, insieme ai suoi allegati opportunamente personalizzati e completati, nel contratto che andrà a stipulare con il responsabile del trattamento.

Come già detto, tuttavia, la rigidità delle procedure cui è obbligato il soggetto pubblico lo costringerà, anche in ossequio ai princìpi di correttezza e buona fede, a rendere noto ai candidati, sin dall’avvio della gara, l’intenzione di ricorrere alle SCCs al momento di stipulare il contratto. Inoltre, al fine di facilitare la definizione di requisiti misurabili per la scelta del contraente, sarà utile integrare, nella griglia di valutazione ordinariamente utilizzata nelle procedure basate sull’offerta economicamente più vantaggiosa, gli elementi riportati nell’Allegato 2 che presenta una sorta di check‑list rispetto alle possibili “misure tecniche e organizzative, comprese misure tecniche e organizzative per garantire la sicurezza dei dati”.

Infine, nella stesura dei documenti, una particolare attenzione va riservata:

  • alla clausola n. 1 allorché prevede che la sottoscrizione delle clausole non sottrae il titolare agli obblighi previsti dal GDPR; questo significa che il titolare non può disinteressarsi del trattamento effettuato per suo conto dal responsabile per il solo fatto di aver sottoscritto le SCCs;
  • alla clausola n. 2 allorché prevede che eventuali altre previsioni presenti nel contratto non devono contraddire quanto previsto dalle SCCs;
  • alla clausola n. 3 allorché prevede che l’interpretazione delle clausole deve essere effettuata alla luce del GDPR e, quindi, anche dei documenti che, nel tempo, saranno prodotti dall’EDPB o dall’autorità di controllo nazionale (per l’Italia, il Garante per la Protezione dei Dati Personali);
  • alla clausola n. 4 che prevede che le SCCs che titolare e responsabili stanno sottoscrivendo prevalgono, in caso di contrasto, su qualsiasi altro “patto contrattuale” eventualmente precedentemente stipulato.

Conclusioni

Le clausole tipo costituiscono, quindi, un notevole ausilio per i titolari ma occorre, comunque, molta consapevolezza nella stesura personalizzata delle SCCs nell’ambito degli accordi per evitare gli effetti negativi del copia&incolla che vanificherebbero tutti i princìpi stabiliti dal GDPR.

 

Note

[i] 1bd9bde0-d074-4ca8-b37d-82a3478fd5d3 (garanteprivacy.it)

[ii] Ordinanza di ingiunzione nei confronti di Roma Capitale – 11 febbraio 2021… – Garante Privacy

[iii] Provvedimento del 17 settembre 2020 [9461168] – Garante Privacy

[iv] Provvedimento del 14 gennaio 2021 [9542136] – Garante Privacy

[v] edpb_guidelines_202007_controllerprocessor_en.pdf (europa.eu)

[vi] Le centrali di committenza e il GDPR – ICT Security Magazine

[vii] EUR-Lex – 32021D0915 – EN – EUR-Lex (europa.eu)

[viii] EDPB-EDPS Joint Opinion 1/2021 on standard contractual clauses between controllers and processors | European Data Protection Board (europa.eu)

 

Articolo a cura di Francesco Maldera

 

Francesco Maldera è Data Protection Officer e Data Scientist.

Il suo percorso professionale lo ha chiamato a responsabilità direzionali nell’ambito dei sistemi informativi, della safety&security, della privacy e dell’auditing svolgendo diversi incarichi dirigenziali nella Pubblica Amministrazione e in aziende private.

Attualmente, accompagna l’attività consulenziale a quella di sensibilizzazione delle persone tramite il sito www.prontoprivacy.it

Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy