Ispezioni, ma con preavviso, al responsabile esterno del trattamento
Il titolare del trattamento dei dati può (anzi, vista l’importanza della materia, è opportuno che lo faccia) controllare il responsabile esterno a cui si affida, ma deve farlo con un preavviso che sia ragionevole.
È questa una delle previsioni, in tema di clausole standard dei contratti di outsourcing (l’accordo con cui un soggetto trasferisce ad altri alcune funzioni) di trattamenti, approvate lo scorso 4 giugno dalla Commissione UE.
In pratica, le ispezioni privacy da parte dei committenti sui fornitori, responsabili esterni del trattamento, non possono avvenire all’improvviso.
L’ambito di applicazione del provvedimento
L’intervento della Commissione europea, peraltro, ha lo scopo di dare attuazione alla norma contenuta nell’articolo 28, precisamente al paragrafo 7, del Gdpr (il Regolamento UE sulla protezione dei dati personali numero 679 del 2016).
La norma, infatti, prevede che la Commissione stessa “può stabilire clausole contrattuali tipo” nei casi di affidamento del trattamento ad un responsabile esterno, nonché nelle ipotesi in cui quest’ultimo, a sua volta, si affida ad un ulteriore responsabile esterno (per specifiche finalità di trattamento).
In genere, il testo di queste clausole contrattuali tipo è una dettagliata trasposizione del contenuto dell’articolo 28 del regolamento europeo. Ed è attento a indicare, con molta precisione, adeguatezza delle misure, finalità e modalità nel trattamento dei dati, in modo da perimetrare analiticamente i confini dell’attività delegata.
L’ambito di applicazione del provvedimento contempla tutti i casi in cui un’organizzazione titolare del trattamento (impresa, professionista o pubblica amministrazione) si affida ad un fornitore esterno, che assume il ruolo di responsabile del trattamento, per un servizio che implica uno scambio di dati (per esempio, relativi a dipendenti o clienti dell’azienda).
Basti pensare alle ipotesi, frequenti, in cui l’organizzazione si rivolge ad un soggetto esterno per servizi digitali o informatici, oppure per servizi che riguardano il personale (come nel caso dell’elaborazione delle buste paga). Si tratta di casi in cui il responsabile esterno del trattamento entra in contatto con i dati e li acquisisce.
L’obbligo di mettere nero su bianco: il contratto scritto
Il trasferimento di una funzione così importante, come il trattamento dei dati, impone la stipula di un contratto scritto. Lo esplicita il comma 3 dell’articolo 28 del Gdpr, con una previsione molto stringente in tema di disciplina dei trattamenti affidati ad un fornitore esterno.
Dunque, i trattamenti da parte di un responsabile esterno del trattamento sono regolati da un atto che va scritto e che lo vincola al titolare.
Una regola importante, non foss’altro perché, a prescindere dalla sua ratio, è prevista una sanzione amministrativa che può essere rilevante, nel caso di inosservanza, potendo arrivare fino a 10 milioni di euro.
Si pensi alle ipotesi in cui, per esempio, un ente pubblico elabora gli atti di una gara d’appalto. In questo caso, quando il fornitore esterno tratta dati per conto del proprio committente, è necessario l’accordo scritto: se l’ente non ottempera a questa prescrizione, è prevista la sanzione.
In alcune situazioni, possono sorgere dei dubbi: il soggetto esterno è effettivamente responsabile del trattamento o, invece, agisce per un interesse proprio? In tal senso, le Linee guida numero 7 del 2020 del Comitato europeo per la protezione dei dati rappresentano l’utile vademecum per ben comprendere (e dividere) ruoli, compiti e responsabilità.
Le clausole contrattuali tipo e il congruo preavviso
Il congruo preavviso, previsto dal provvedimento della Commissione europea dello scorso 4 giugno, è stato introdotto proprio per dare contenuto alle clausole contrattuali che prevede l’articolo 28, comma 7, del Gdpr.
Tra questi patti accessori al contratto, hanno rilievo quelli relativi alle prerogative del titolare del trattamento, in particolare il potere che quest’ultimo ha di fare ispezioni, anche nella sede del fornitore responsabile esterno del trattamento.
L’obiettivo delle ispezioni è quello di controllare che i trattamenti dei dati rispettino le istruzioni che sono state impartite con il contratto. Il provvedimento della Commissione, come anticipato, stabilisce tuttavia che queste ispezioni, in materia di privacy, avvengano con un congruo preavviso.
Da parte sua, il fornitore responsabile esterno del trattamento deve garantire, al committente titolare, di avere vincolato il proprio personale a mantenere la riservatezza dei dati.
Come peraltro indicato anche nello stesso articolo 28 del Gdpr, si definiscono con precisione e minuziosità le informazioni che vanno inserite nelle clausole. Si tratta di elementi come il tipo dei dati, le categorie degli interessati, la durata del trattamento, il periodo di conservazione e le misure di sicurezza informatiche e fisiche.
Queste ultime prescrizioni devono essere seguite per evitare di incorrere nelle sanzioni citate. Tuttavia, ci possono essere problemi di carattere applicativo. Si pensi alle ipotesi in cui il fornitore responsabile esterno del trattamento (per esempio una grande società di servizi IT) è magari la parte contrattuale più forte rispetto al titolare del trattamento dei dati (qualora si tratti di una PMI o di un piccolo ente pubblico).
Da ultimo, sul tema della limitazione della responsabilità o di manleve, rispetto a richieste di danni da parte degli interessati, il provvedimento della Commissione europea non dice nulla, riguardo ad un eventuale inserimento di clausole contrattuali: questo aspetto è lasciato alla discrezionalità delle parti.
Vuoi leggere altri approfondimenti? Ecco cosa offre il nostro Blog:
- Come usare i social network per vendere con il tuo e-commerce
- Cookie di profilazione e consenso al trattamento dati nel marketing
- Gdpr compliance marketing nell'e-commerce
- E-commerce e social media marketing privacy
- Gdpr e marketing nell'e-commerce
Inizia con il piede giusto e scopri le migliori regole sul trattamento dei dati, usando il marketing e i social network per vendere con il tuo e-commerce.
Clicca qui per verificare date e argomenti dei nostri prossimi webinar di approfondimento.