Quando si sceglie un partner bisogna stare attenti: il rapporto deve basarsi sulla fiducia. Di solito, nei nostri rapporti personali, scegliamo il partner dopo una lunga frequentazione e gli affidiamo una parte dei nostri segreti, dei nostri sogni, della nostra vita solo quando abbiamo la certezza che sia ridotto al minimo il rischio che ci maltratti. Queste scelte, di solito, hanno quattro caratteristiche:
L’importanza della scelta del partner, invece, nella vita professionale risponde a criteri molto diversi. Occorre che
Queste caratteristiche diventano essenziali quando il partner professionale è un soggetto al quale vengono affidate una o più operazioni di trattamento di dati personali (tutti i dati personali, non solo quelli sensibili…). Com’è noto, questo soggetto assume, secondo il Reg. UE 2016/679[i] (d’ora in poi GDPR), il ruolo di Responsabile del Trattamento ai sensi dell’art. 28 che, al suo primo paragrafo, prevede che
Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato
Già il primo paragrafo obbliga il titolare a scegliere oculatamente il responsabile del trattamento solo tra quelli che possono assicurargli che i dati personali non siano maltrattati cioè che non siano trattati in modo difforme da quanto previsto dal GDPR.
Il richiamo, dunque, è forte ma, al contempo, molto sottovalutato. Lo dimostrano i frequenti provvedimenti sanzionatori diretti a soggetti pubblici che, nella loro qualità di titolari del trattamento, non scelgono adeguatamente il responsabile[ii][iii] o, addirittura, non sono nemmeno consapevoli che il proprio partner assumerà quel ruolo[iv] e, con questo, tutto ciò che il GDPR prevede.
In proposito, dunque, occorre ricordare sempre che
Quindi, proprio per evitare spiacevoli inconvenienti, queste definizioni, apparentemente scontate, devono accompagnare sempre i momenti precedenti l’approvvigionamento ovvero la scelta del partner da parte del titolare. Bisogna domandarsi:
Se la risposta è “si” ad entrambe le domande, il partner assumerà il ruolo di responsabile del trattamento ed è necessario avviare un percorso strutturato per poterlo scegliere.
Un primo percorso strutturato per la scelta del responsabile del trattamento è indicato nelle “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”[v] adottate dal Comitato Europeo per la Protezione dei Dati Personali (EDPB) il 2 settembre 2020.
Gli assi principali indicati dall’EDPB sui quali è opportuno basare la scelta del responsabile sono:
Questi elementi, ovviamente, vanno declinati in requisiti oggettivi e concretamente misurabili, soprattutto quando il titolare è un soggetto pubblico e, quindi, vincolato a specifiche disposizioni normative in materia di approvvigionamento[vi].
Infatti, i soggetti pubblici sono vincolati ad approvvigionarsi secondo le previsioni del D.Lgs. 50/2016 (Codice dei contratti pubblici) che, in termini schematici, prevede una rigida attuazione delle seguenti fasi:
In realtà, la formalizzazione del contratto è, spesso, una semplice ricaduta dei contenuti e dei risultati delle prime due fasi. Per intenderci, tutto ciò che è scritto nei cosiddetti “atti di gara” (fase di scelta del contraente) verrà ripreso integralmente nel contratto finale. Questo vuol dire che, già nelle prime fasi dell’approvvigionamento, il titolare deve:
Naturalmente, se questi sono gli elementi essenziali da considerare, sarà opportuno che il titolare tenga a mente, sin dalle fasi di avvio dell’approvvigionamento, l’intero art. 28 del GDPR e, in particolare, i contenuti dei paragrafi 3 e 4.
Considerata l’importanza della questione e l’impegno che viene richiesto al titolare, lo stesso art. 28, al paragrafo 7, prevede che la Commissione Europea stabilisca clausole contrattuali tipo (Standard Contractual Clauses – SCCs) che forniscano la traccia su cui basare gli accordi con il responsabile del trattamento.
La Commissione ha assunto la conseguente decisione 2021/915[vii] lo scorso 4 giugno dopo aver acquisito il parere congiunto del Comitato Europeo per la Protezione dei Dati Personali e del Garante Europeo per la Protezione dei Dati Personali (EDPS)[viii]. La decisione assume vigenza a partire dal 27 giugno 2021 visto che è stata pubblicata nella Gazzetta Ufficiale Europea il 7 giugno.
Le clausole contenute nella decisione 915 sono dieci cui si aggiungono quattro allegati (e non più sette come previsto nella prima bozza sottoposta al parere congiunto EDPB‑EDPS); coprendo tutti gli obblighi previsti dall’art. 28, il titolare dovrebbe trovare il modo di inserirle, insieme ai suoi allegati opportunamente personalizzati e completati, nel contratto che andrà a stipulare con il responsabile del trattamento.
Come già detto, tuttavia, la rigidità delle procedure cui è obbligato il soggetto pubblico lo costringerà, anche in ossequio ai princìpi di correttezza e buona fede, a rendere noto ai candidati, sin dall’avvio della gara, l’intenzione di ricorrere alle SCCs al momento di stipulare il contratto. Inoltre, al fine di facilitare la definizione di requisiti misurabili per la scelta del contraente, sarà utile integrare, nella griglia di valutazione ordinariamente utilizzata nelle procedure basate sull’offerta economicamente più vantaggiosa, gli elementi riportati nell’Allegato 2 che presenta una sorta di check‑list rispetto alle possibili “misure tecniche e organizzative, comprese misure tecniche e organizzative per garantire la sicurezza dei dati”.
Infine, nella stesura dei documenti, una particolare attenzione va riservata:
Le clausole tipo costituiscono, quindi, un notevole ausilio per i titolari ma occorre, comunque, molta consapevolezza nella stesura personalizzata delle SCCs nell’ambito degli accordi per evitare gli effetti negativi del copia&incolla che vanificherebbero tutti i princìpi stabiliti dal GDPR.
[i] 1bd9bde0-d074-4ca8-b37d-82a3478fd5d3 (garanteprivacy.it)
[ii] Ordinanza di ingiunzione nei confronti di Roma Capitale – 11 febbraio 2021… – Garante Privacy
[iii] Provvedimento del 17 settembre 2020 [9461168] – Garante Privacy
[iv] Provvedimento del 14 gennaio 2021 [9542136] – Garante Privacy
[v] edpb_guidelines_202007_controllerprocessor_en.pdf (europa.eu)
[vi] Le centrali di committenza e il GDPR – ICT Security Magazine
[vii] EUR-Lex – 32021D0915 – EN – EUR-Lex (europa.eu)
[viii] EDPB-EDPS Joint Opinion 1/2021 on standard contractual clauses between controllers and processors | European Data Protection Board (europa.eu)
Ulteriori approfondimenti:
Articolo a cura di Francesco Maldera
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…