I contratti e le relative clausole a tutela della privacy hanno assunto oggi una nuova dimensione in termini di responsabilizzazione delle imprese, per il crescente sviluppo di tecnologie e servizi ad esse connessi, e la diffusione di una diversa cultura dei dati personali.
Ogni imprenditore dovrebbe comprendere quanto la protezione dei dati personali in ogni settore aziendale, e la sua opportuna regolamentazione, siano essenziali a livello strategico per tutelarsi ed essere competitivi sul mercato.
Quindi ciascuna impresa è tenuta responsabilmente a esaminare con attenzione le attività aziendali che implicano il trattamento dei dati personali, al fine di individuare eventuali rischi per i diritti e le libertà dei soggetti interessati, generati da una cattiva gestione in violazione della normativa.
E ciò per evitare le gravose sanzioni amministrative comminabili ai sensi del GDPR e le possibili responsabilità risarcitorie verso gli interessati al trattamento, oltre alle conseguenze penali applicabili in alcune fattispecie.
Pertanto, alla luce del Regolamento UE 2016/679 (GDPR), è diventato sostanziale per ogni impresa:
- rivedere la contrattualistica aziendale in essere e in elaborazione in conformità ai principi cardine della normativa (accountability, privacy by design e privacy by default –art.25, GDPR);
- disciplinare adeguatamente i rapporti giuridici tra i soggetti attori del trattamento (titolare e responsabili del trattamento, soggetti autorizzati al trattamento e interessati al trattamento) e la circolazione dei dati, tramite la stipula di una specifica contrattualistica;
- regolamentare l’eventuale trasferimento di dati all’estero con clausole contrattuali standard.
Contratti e privacy: l’accountability del titolare del trattamento
Secondo il principio di responsabilizzazione (o accountability) – art.5,c.2,GDPR – il titolare del trattamento ha il compito di definire in maniera autonoma (o insieme ad altri titolari) le modalità di gestione dei dati personali.
Sussiste un’ampia libertà del titolare nell’approntare le dovute tutele, nel rispetto delle garanzie e dei limiti disposti dalla legge, in rispondenza a specifici criteri, tra cui (art.25, GDPR):
- “privacy by design” – la protezione dei dati personali vede una tutela dell’intero ciclo di vita del dato – dalla sua creazione, distribuzione, gestione e cancellazione – per cui il titolare del trattamento deve garantire che ogni processo aziendale e contratto sia conforme alla normativa privacy sin dalla sua progettazione;
- “privacy by default” (“impostazione predefinita” ) – per cui il titolare del trattamento deve utilizzare solo i dati personali necessari alla specifica finalità del trattamento e conservarli solamente per il periodo definito per lo scopo.
Pertanto, nella determinazione delle finalità, modalità e mezzi di trattamento a tutela dei diritti del soggetto interessato, il titolare deve adottare delle misure tecniche e organizzative adeguate secondo i principi (art.5, GDPR) di:
- liceità, correttezza e trasparenza;
- minimizzazione dei dati;
- esattezza dei dati;
- limitazione della conservazione;
- integrità e riservatezza.
Responsabile del trattamento
Al rispetto di questi principi deve attenersi anche il “responsabile del trattamento” (“data processor”) soggetto che agisce per conto del titolare (“data controller”), sulla base di un contratto – il Data Processing Agreement (DPA).
Sono responsabili del trattamento tutti quei soggetti, diversi dai dipendenti del titolare (che sono incaricati/autorizzati al trattamento), che, per mandato o comunque contratto, devono svolgere attività di trattamento dati per conto del titolare.
A mero titolo esemplificativo, nella prassi, sono qualificati responsabili del trattamento:
- il consulente del lavoro;
- il tecnico informatico;
- il commercialista;
- la società che gestisce i sistemi gps o di videosorveglianza, etc.,
- e comunque tutti quei soggetti che per conto del titolare del trattamento, ancorché incidentalmente e in via sporadica, possano entrare in contatto con i dati personali.
I rapporti tra il titolare e tutti questi responsabili devono essere disciplinati da un apposito contratto.
Data Processing Agreement
Come previsto dall’art.28 del GDPR, si tratta di un contratto che vincola il responsabile del trattamento al titolare del trattamento disciplinando un “contenuto minimo”:
«la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento» (art.28,c.3,GDPR).
Sarà poi compito del titolare del trattamento valutare caso per caso se sia necessario integrare questo “contenuto minimo” con ulteriori diritti, obblighi e garanzie.
Nella prassi viene stipulato un addendum al mandato/contratto già in essere tra le parti, a specifica regolamentazione degli aspetti privacy (tra cui, ad esempio, le modalità di archiviazione, messa a disposizione o restituzione dei dati trattatati, le misure di sicurezza implementate, etc.).
E ciò in rapporto alla tipologia dei dati trattati, della gravità del rischio derivante dalla loro perdita o diffusione.
Invece, qualora due o più titolari agiscano congiuntamente nella definizione di finalità e mezzi del trattamento dei dati personali, si può parlare di “contitolari del trattamento” (joint controllers), come disciplinato dall’art.26 del GDPR.
Accordi di contitolarità del trattamento
La contitolarità del trattamento prevede la stipula di un accordo di contitolarità (“joint controller agreement”) in cui vengono definiti in maniera trasparente ruoli, obblighi e responsabilità dei contitolari in merito all’esercizio dei diritti dell’interessato (artt.13-14 GDPR) e alla comunicazione dell’informativa.
L’accordo deve includere:
- i dati oggetto del contratto e la tipologia di applicazione della contitolarità al complesso delle attività di trattamento dei dati o solo ad una sua parte;
- le finalità del trattamento in contitolarità, durata e periodo di conservazione;
- le categorie dei dati personali;
- l’onere delle parti a rispettare i principi del Regolamento (art.5, GDPR) applicabili al trattamento;
- l’obbligo di riservatezza e confidenzialità dei dati personali raccolti e trattati;
- l’impegno delle parti a mettere in atto opportune misure tecniche e organizzative per assicurare un livello di sicurezza adeguato al rischio;
- l’obbligo delle parti di comunicare tramite notifica all’Autorità di controllo, qualsiasi violazione dei dati personali (“Data Breach”) – art. 33 GDPR – appena ne vengano a conoscenza.
Eventuali modifiche ed integrazione a detto accordo dovranno essere fatte per iscritto su consenso delle parti.
Contratti e privacy: Clausole contrattuali standard
Un ultimo aspetto da contrattualizzare in materia di trattamento dei dati personali è rappresentato dal trasferimento dei dati verso Paesi terzi tramite Clausole contrattuali standard, soprattutto nei Paesi Extra-UE.
Recentemente la Corte di Giustizia, la Commissione Europea e il Garante europeo hanno lavorato insieme per garantire un’adeguata regolamentazione del trasferimento dei dati verso i Paesi fuori dall’area UE-SEE, soprattutto in seguito al vuoto normativo lasciato dalla sentenza Schrems II , del 16 luglio 2020.
In tale sede la Corte ha stabilito la non validità dell’accordo Privacy Shield tra UE e USA e confermato invece la validità delle Clausole contrattuali standard dell’Unione Europea (“CCS”) – art.46,c.2,lett.c, GDPR – per cui lo scambio di flussi di dati a livello internazionale sarebbe di fatto legittimo e sicuro.
Pertanto, la Commissione Europea in relazione al contesto economico sempre più globalizzato e a questo vuoto normativo ha deciso di dare una svolta adottando nuove CCS tramite la Decisione del 4 giugno 2021, n. 914/2021 .
La Decisione insieme alla pubblicazione il 21 giugno 2021 delle “EDPB Final Recommendations“, va a colmare il clima di incertezza giuridica dato dalla sentenza richiamata.
Applicazione clausole
Le Clausole contrattuali standard:
- sono applicabili a tutte le imprese che intendano trasferire dati personali al di fuori dell’UE, includendo anche l’accesso da remoto dei dati o la sola conservazione dei dati all’estero;
- regolano il rapporto tra l’esportatore dei dati e il relativo importatore, i quali, di fatto, devono sempre dimostrare di agire in conformità alle suddette clausole.
L’obiettivo di questo aggiornamento, in materia di contratti e privacy, è volto a garantire che i soggetti interessati dal trasferimento dei dati personali extra-UE, abbiano le stesse tutele di un eventuale trasferimento entro i confini UE.
Le novità contenute nelle CCS sono:
- l’adeguamento delle stesse ai principi del GDPR;
- la possibilità di prevedere ulteriori clausole e garanzie supplementari in aggiunta a quelle minime previste, a condizione che non siano contrarie alle standard e che non vadano a violare i diritti e libertà dei soggetti interessati;
- il diritto per gli interessati di ricevere copia delle CCS e di essere informati sulla tipologia di dati personali trattati e sui possibili successivi trasferimenti;
- la concessione a più di due parti di aderire alle CCS e utilizzarle per l’intero ciclo di vita del contratto;
- per i contratti conclusi sulla base delle precedenti CCS, sarà possibile un periodo di adeguamento a quelle nuove entro 18 mesi, per cui saranno ritenuti validi sino al 27 dicembre 2022.
Da questa panoramica in tema di contratti e privacy, abbiamo avvalorato che una gestione responsabile del trattamento dei dati personali deve essere la base di ogni strategia aziendale e di ogni attività imprenditoriale.
Pertanto, se hai necessità di entrare nelle dinamiche della protezione dei dati all’interno della tua azienda e avere supporto sulla negoziazione, stesura ed esecuzione dei contratti privacy, non esitare, contatta il nostro Studio.