RESPONSABILI PRIVACY: i contratti art. 28 GDPR

Categoria: regole privacy
4 Febbraio 2021
R

Il responsabile del trattamento, persona fisica o giuridica [art. 4 p. 8 del GDPR]:

  1. è un soggetto esterno (es., provider web e di posta elettronica, amministratore di sistema, commercialista, consulente del lavoro, avvocato, ecc.)
  2. è un contraente con cui di solito il titolare stipula un contratto di attività e servizi
  3. è “responsabile del trattamento” dei dati personali di interessati del titolare, che è implicato nelle funzioni e attività concordati, e che il responsabile esegue presso proprie strutture, con suoi strumenti anche di tipo remoto, mediante suoi autorizzati, e, previo accordo del titolare stesso, anche tramite propri sub-responsabili
  4. è nominato con il c.d. contratto art. 28 del GDPR.

 

Un certo ruolo del responsabile esterno era già noto nel “vecchio” Codice privacy.

 

Il GDPR però ha reso assolutamente chiaro che tutte le seguenti responsabilità gravano soltanto in capo al titolare, e cioè:

  1. determinare finalità e mezzi di trattamento dei dati di propri interessati [ 4 p. 7]
  2. assicurare il rispetto dei princìpi di trattamento [artt. da 5 a 10 GDPR[
  3. fornire ai propri interessati le informative artt. 13 e 14 del GDPR
  4. assicurare il rispetto dei princìpi di trattamento [artt. da 5 a 10 GDPR]
  5. ricorrere a responsabili vincolandoli attraverso il contratto e le norme art. 28 GDPR
  6. fornire a ciascun responsabile istruzioni documentate per il trattamento dei dati di propri interessati [artt. 28-29 GDPR] e per l’assistenza e collaborazione che ogni responsabile ha l’obbligo di assicurargli riguardo a:
    • riscontro a richieste di esercizio dei diritti di interessati [art. 28 § 3.e GDPR]
    • notifica del titolare al Garante su eventuali violazioni di dati [art. 28 § 3.f GDPR]
    • dichiarazioni dei responsabili sul rispetto degli obblighi GDPR [artt. 28 § 3.h e 32-36] nonché, eventuali altre ispezioni e verifiche del titolare o di suoi incaricati
  1. valutare e autorizzare il ricorso dei responsabili a loro sub-responsabili [artt. 28-29]
  2. attuare misure tecniche e organizzative adeguate [artt. 24-25]
  3. garantire la sicurezza e riservatezza dei trattamenti [artt. 30 e da 32 a 36 GDPR]

 

Da quanto sopra emerge a carico del titolare una responsabilità non da poco riguardo al trattamento dei dati dei suoi interessati, e questo, non solo nel caso di propri trattamenti diretti, ma anche nel caso di trattamenti eseguiti per suo conto da parte del responsabile.

 

Che cosa succederebbe se il responsabile non rispettasse scrupolosamente la conformità al GDPR e se i trattamenti affidatigli dal titolare non risultassero protetti da adeguate misure tecniche e organizzative?

 

Oltre a ciò, nei mesi passati l’Organismo Europeo EDPB (il Comitato UE per la protezione dei dati), ha predisposto le “Standard Contractual Clauses for the purposes of Article 28(3) of Regulation 2016/679 (the GDPR)”, cioè, clausole contrattuali standard su cui basare i contratti art. 28 con i responsabili.

 

In base a queste considerazioni, quindi, è necessario e opportuno:

  • rivedere la struttura dello schema di contratto art. 28 usato in precedenza
  • non definire i ruoli delle parti solo con i riferimenti normativi del GDPR
  • disporre uno schema di contratto art. 28 che sia giuridicamente più articolato
  • applicare il nuovo schema di contratto a tutti, anche a soggetti già gestiti.

 

Il nuovo schema di contratto art. 28 si caratterizza come segue:

  • delinea meticolosamente l’oggetto del contratto
  • elenca specificamente i ruoli delle parti
  • espone in modo esplicito le istruzioni documentate del titolare art. 28 §3.a, cioè:
    • obblighi e diritti del titolare del trattamento
    • il responsabile del trattamento agisce secondo le istruzioni [CCS art. 28 – EDPB]
    • i diritti degli interessati [artt. 15-22]
    • i princìpi applicabili al trattamento dei dati [art. 5]
    • i principali rischi sui trattamenti [art. 28 § 3.c] e gli effetti per gli interessati
    • riservatezza dei trattamenti e misure tecniche e organizzative di sicurezza
    • il ricorso del responsabile a sub-responsabili
    • il trasferimento dei dati in paesi extra UE o presso organizzazioni internazionali
    • l’assistenza che il responsabile garantisce al titolare in situazioni particolari (esercizio diritti degli interessati [art. 28 § 3.e], rispetto obblighi artt. 32-36, tra cui, notifica di violazioni dati [art. 28 § 3.f] e verifica conformità GDPR [art. 28 § 3.h])
    • istruzioni del titolare al responsabile in caso di cessazione del contratto
  • indica la durata del contratto
  • indica come allegati al contratto i seguenti documenti di supporto:
    1. autocertificazione annuale del responsabile sui trattamenti e sugli obblighi art. 28
    2. elenco, caratteristiche e proprietà dei dati degli interessati e dei trattamenti
    3. elenco sub-responsabili impiegati nei trattamenti dei dati degli interessati
    4. checklist art. 28 GDPR su informazioni e rispetto obblighi.

 

Questo nuovo schema di contratto art. 28 sarà applicato già con la revisione annuale del 2021 che sta partendo in questi giorni.

 

Per tale revisione è importante indicare nel modo più preciso possibile quanto segue:
(le note di esempio si riferiscono all’ipotesi di un responsabile provider web e di posta elettronica)

  • materia disciplinata (es. funzioni e attività di provider web e di posta elettronica)
  • finalità del trattamento (es., occasionali interventi di manutenzione sugli archivi contenenti i dati)
  • natura del trattamento (es., manutenzioni tecnico-informatiche)
  • tipi di dati trattati (es., dati identificativi, indirizzi email e altri possibili dati di contatto e recapiti)
  • categorie di interessati (es., clienti e fornitori e relativi referenti, e altri utenti web)
  • durata del trattamento (es., sino a cessazione finalità di trattamento o del contratto di mandato)

Altri articoli che potrebbero interessarti