Clausole contrattuali standard per i rapporti tra titolare e responsabile: la nuova bozza europea - Cyber Security 360

TRATTAMENTO DATI PERSONALI

Clausole contrattuali standard per i rapporti tra titolare e responsabile: la nuova bozza europea

La versione definitiva sarà adottata dalla Commissione UE nei primi mesi del 2021: le clausole standard rappresentano il primo modello prodotto da un’istituzione comunitaria per regolare i rapporti contrattuali tra titolare e responsabile del trattamento. Ecco le novità

21 Dic 2020
L
Gianmaria Le Metre

Avvocato, Privacy advisor

M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

La bozza di clausole contrattuali standard della Commissione UE rappresentano il primo modello proposto da un’istituzione comunitaria per regolare, alla luce dell’articolo 28 del GDPR, il rapporto contrattuale tra titolare e responsabile del trattamento dei dati.

La loro adozione non è un obbligo assoluto per la definizione del rapporto tra titolare e responsabile, si mostra un utile strumento circa il grado di dettaglio che la Commissione Europea – e le autorità di controllo – si aspettano di vedere circa il contenuto che dovrà avere un accordo conforme ai principi stabiliti.

Si raccomanda, quindi, di attenersi il più possibile a quanto sarà definitivamente pubblicato dalla Commissione con la versione definitiva di tali clausole, prevista per i primi mesi del 2021.

Cosa prevedono le clausole contrattuali standard

“Attenersi il più possibile” va scomposto come segue, ragionando pragmaticamente:

  • censire tutti i propri contratti titolare-responsabile in vigore;
  • confrontare quanto previsto in tali documenti con quanto disegnato dalle SCC (Standard Contractual Clauses) della Commissione;
  • alla luce di quanto emerge, se opportuno, provvedere alla revisione dei contratti in parola o alla loro sostituzione con quanto previsto – in sostanza – dalle clausole contrattuali standard esaminate;
  • si potrà anche adottare una propria versione delle clausole contrattuali standard, badando di inserire variazioni o integrazioni solo con attenta consapevolezza degli effetti e del rispetto della normativa, oltre che del proprio contesto;
  • non si dimentichi di curare l’aspetto del trasferimento, eventuale, dei dati in Paesi extra-UE/SEE da parte del responsabile – o suoi sub-responsabili, con tutto quel che ne consegue nell’era post-Schrems II (v. le Raccomandazioni 1/2020 EDPB);
  • si badi sempre e comunque – preferibilmente con consulenti specializzati – ad effettuare interventi contrattuali pertinenti al quadro normativo italiano (ad es. quanto all’applicazione degli artt. 1341-1342 c.c. circa le condizioni generali di contratto, agli artt. 1703 e ss. c.c. circa il rapporto di mandato, ecc.): sempre di contratto stiamo parlando, la Commissione si è limitata a fornire un impianto di base da considerare nell’alveo della normativa locale applicabile.

Le istituzioni forniscono in definitiva un importante – seppur non certo rivoluzionario visto anche il precedente modello promosso dall’EDPB – contributo all’uniformità europea e alla compliance, speriamo sia recepito copiosamente dagli stakeholder interessati. E che la Commissione proceda con le proprie competenze in materia, ad es. circa le icone informative standardizzate che l’art. 12 c. 7 GDPR riserva proprio alla Commissione, finora silente.

Queste clausole si sommano alle discusse clausole contrattuali standard in tema di trasferimento dati extra-UE, le bozze sono state adottate il 12 novembre 2020 dalla Commissione Europea.

Come anticipato, non si tratta di una novità assoluta: nel corso del 2019 l’EDPB aveva già rilasciato parere favorevole – dunque caldeggiandone l’applicabilità europea – al modello ideato dall’autorità di controllo danese.

Si tratta ora, invece, del primo modello rilasciato direttamente da un’istituzione comunitaria. Sia chiaro fin d’ora che ciò non significa che non si possano adottare altri modi di disciplinare il rapporto titolare-responsabile, tuttavia è evidente che avendo modelli simili quale benchmark autorevole sarà opportuna quantomeno una verifica, un confronto.

Specie se a proporle è il motore della politica dell’Unione quale è la Commissione che tra i suoi compiti trova proprio quello di adottare le iniziative a promozione dell’interesse generale comunitario.

Il contesto normativo

Brevemente ricordiamo la fattispecie giuridica: l’art. 28, c. 3 e 4, GDPR, richiede che il trattamento di dati personali da parte di un responsabile del trattamento (ed eventuali sub-responsabili) sia regolato da un contratto nei confronti del titolare del trattamento.

L’accordo deve stabilire l’oggetto e la durata del trattamento, la natura e lo scopo del trattamento, il tipo di dati personali, le categorie di interessati e gli obblighi del responsabile del trattamento.

Inoltre, il contratto deve includere una serie di obblighi incombenti al responsabile del trattamento, come l’obbligo di trattare i dati personali solo su istruzioni documentate del titolare del trattamento e di adottare tutte le misure di sicurezza tecniche e organizzative appropriate per salvaguardare i dati.

Il comma 7 dello stesso articolo prevede che la Commissione Europea possa predeterminare clausole contrattuali standard per le materie di cui ai commi 3 e 4, secondo la procedura d’esame di cui all’articolo 93 GDPR. Le clausole disciplinano: obiettivo e scopo delle SCC, invariabilità delle clausole, interpretazione rispetto ai termini presenti nel GDPR e nel Regolamento UE/2018/1725 (normativa di protezione dei dati per le istituzioni comunitarie), gerarchia tra le clausole contrattuali standard e altri accordi intercorsi tra le parti, obblighi delle parti, diritti dell’interessato, data breach (e relativa notifica), nonché aspetti relativi alla risoluzione dell’accordo.

Gli obblighi

Oltre agli obblighi previsti nel corpo delle clausole contrattuali, le clausole contrattuali standard in parola contengono una serie di allegati (che dovranno essere compilati dalle parti, la Commissione in merito si limita a categorizzare tali aspetti) con il compito di fornire una descrizione maggiormente dettagliata su aspetti quali:

  • parti contraenti (Allegato I);
  • descrizione del trattamento (Allegato II);
  • misure tecniche e organizzative per garantire la sicurezza dei dati (Allegato III);
  • istruzioni del titolare del trattamento in relazione al trattamento dei dati personali (Allegato IV);
  • restrizioni specifiche e/o garanzie aggiuntive riguardanti dati particolari (Allegato V);
  • l’elenco di eventuali sub-responsabili (Allegato VI);
  • un elenco di misure tecniche e organizzative appropriate con il quale il responsabile si obbliga ad assistere il titolare del trattamento (Allegato VII).

Gli aspetti salienti delle SCC

Tra gli aspetti che meritano particolare attenzione si segnala quanto previsto dalla Clausola 2, per cui le parti possono stipulare un contratto più ampio e aggiungere altre clausole o ulteriori obblighi purché non contraddicano, direttamente o indirettamente, la SCC o siano pregiudizievoli dei diritti o le libertà fondamentali degli interessati.

La Clausola 4 (rubricata come “Gerarchia”) stabilisce che in caso di conflitto tra le SCC ed eventuali disposizioni di qualsiasi altro accordo esistente tra le parti, saranno le prime a prevalere sulle seconde. Come può accadere con il collegato contratto di servizio tra le medesime parti.

Si noti da subito che l’Allegato II prevede, tra i dati da specificare, dettagli importanti come i registri dei trattamenti e i luoghi di trattamento/conservazione dei dati. Aspetti non certo sempre facili da determinare, specialmente pensando a servizi di cloud computing.

L’attenzione al controllo capillare di tali specifiche potrà dunque indurre a una revisione dei rapporti con terzi non in grado di garantire la completezza di tali informazioni.

Le SCC ribadiscono inoltre il principio ex art. 28 par. 3, lett.a), GDPR secondo cui il responsabile tratta i dati personali solo su istruzioni documentate (specificabili nell’Allegato IV) da parte del titolare del trattamento (salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento).

Questo aspetto è fondamentale perché nella prassi è molto frequente riscontrare contratti che sul punto sono silenti, o rinviano genericamente all’art. 32 GDPR, e via peggiorando.

Invece deve essere chiaro che tali istruzioni dovranno essere specifiche, contestualizzate, tenendo conto dei rischi del trattamento (valutati dal titolare) e delle relative misure di sicurezza (sempre stabilite dal titolare, anche con la collaborazione del responsabile, che comunque potrà offrire le proprie e trovare l’accettazione del titolare).

Quanto ai requisiti per le misure di sicurezza, pur lasciando alle parti l’indicazione dettagliata, l’Allegato III ne chiarisce comunque una predeterminazione per possibili macro-categorie, di grande utilità vista la genericità del GDPR sul tema:

  1. pseudonimizzazione e crittografia;
  2. garantire la costante riservatezza, integrità, disponibilità e resilienza dei sistemi di trattamento e dei servizi;
  3. capacità di ripristinare la disponibilità e l’accesso ai dati personali in modo puntuale, in caso di incidente tecnico o fisico;
  4. processi per svolgere regolarmente test e valutazione dell’efficacia delle misure tecniche e organizzative, per garantire la sicurezza del trattamento;
  5. identificazione e autorizzazione degli utenti che trattano i dati;
  6. protezione dei dati durante la trasmissione;
  7. protezione dei dati durante la conservazione;
  8. sicurezza fisica dei luoghi in cui i dati personali sono trattati;
  9. registrazione dei log;
  10. configurazione dei sistemi, comprese le configurazioni di default;
  11. governance e gestione interna della sicurezza e dei sistemi IT;
  12. minimizzazione del trattamento dei dati e data avoidance (ovvero l’evitare indebite duplicazioni e ridondanze di dati);
  13. qualità dei dati (come integrità, completezza, validità, unicità, accuratezza e coerenza);
  14. conservazione dei dati (incluse le tempistiche);
  15. accountability (quanto alla documentazione e comprovabilità delle misure e azioni adottate);
  16. portabilità dei dati e dismissione dei dati (cancellazione/restituzione).

Sempre tra gli Allegati, il V prevede una sezione apposita di specifiche per i dati particolari (art. 9 GDPR) come ad es. i dati sanitari. In tal caso, è attesa una protezione maggiore, nell’Allegato infatti si accennano misure idonee di salvaguardia come:

  • restrizioni di accesso;
  • un registro degli accessi ai dati;
  • limitazioni delle finalità per le quali le informazioni possono essere trattate;
  • misure di sicurezza aggiuntive (ad es. crittografia avanzata per la trasmissione);
  • requisiti di formazione specialistica per il personale autorizzato.

La Clausola 7 è piuttosto corposa, toccando gli obblighi delle parti. Notiamo che al punto (b) della stessa, in caso di istruzioni del titolare ritenute dal responsabile in violazione del GDPR, non è previsto altro che quanto già indicato nel GDPR – cioè l’obbligo per il responsabile di informare il titolare. Potrebbe giustificare un’apposita previsione circa la risoluzione unilaterale del contratto, da integrare a giudizio della parti coinvolte.

Adoperando un termine già noto alla nostra Pubblica Amministrazione (si veda il Provvedimento del Garante n. 393 del 2 luglio 2015), le SCC prevedono alla Clausola 7.3 (a) che in caso di violazione dei dati personali relativi ai dati trattati dal responsabile del trattamento, questi deve informare il titolare del trattamento senza ingiustificato ritardo e al più tardi entro 48 ore dopo essere venuto a conoscenza della violazione.

Alle clausole 8 e 9 sono fornite ulteriori prescrizioni e precisazioni verso il responsabile nella sua assistenza al titolare in caso di data breach.

Quanto all’utilizzo di eventuali sub-responsabili, le SCC prevedono per l’inquadramento del rapporto tra costoro e le parti contraenti tramite due opzioni. Secondo una prima strada a) il responsabile del trattamento può munirsi di una specifica autorizzazione “preventiva” rilasciata dal titolare.

In questo caso, il responsabile non può delegare a sub-responsabili operazioni sui dati personali da eseguirsi per conto dei dati titolare del trattamento senza la sua preventiva approvazione scritta, che dovrà pervenire entro un determinato periodo di tempo previsto dalle parti

Seguendo un’altra strada b), il titolare del trattamento può rilasciare per iscritto un’autorizzazione generale al responsabile che consente a quest’ultimo di munirsi di sub-responsabili, salvo opposizione del titolare.

In entrambi i casi, si prevede che qualsiasi modifica relativa all’aggiunta, rimozione o sostituzione di sub-responsabili dovrà essere annotata nell’elenco dei sub-responsabili di cui all’ Allegato VI che dovrà essere costantemente aggiornato da entrambe le parti.

Particolare attenzione, dunque, andrà dedicata alla catena di supply chain: non basta fermarsi al primo livello di delega, bensì mappare l’intera catena di subfornitori (pensiamo ad es. ai vari servizi cloud).

Alla Clausola 7.7, quanto ai trasferimenti internazionali in Paesi terzi si prevedono svolti solo su istruzione documentata del titolare (v. Allegato IV). Nel dettaglio, si avverte che si possa procedere – sia per i responsabili che sub-responsabili – in accordo all’art. 46 c. 2 GDPR, ovvero sulla base di garanzie adeguate costitute dalle SCC per i trasferimenti internazionali della Commissione Europea.

A collegamento tra le due operazioni intraprese dalla Commissione con questo doppio set di SCC (trasferimenti extra-UE/SEE inclusi), pensate per essere utilizzate in combinazione. Tuttavia pare lecito emendare tale previsione anche con altre possibili basi di trasferimento dei dati, non solo quella delle SCC.

Interessante il punto sulla risoluzione e sospensione del contratto (Clausola 10) ove si prevede che qualora il responsabile non sia in grado di adempiere ai propri impegni, il titolare possa sospendere temporaneamente il trattamento finché non si ripristini la corretta esecuzione.

In mancanza, sarà possibile risolvere il contratto (e, aggiungiamo, anche il collegato contratto di servizio che dovrà farvi cenno).

Tra le possibili cause di risoluzione vi è anche l’impossibilità per il responsabile di adempiere a una decisione dell’autorità di controllo.

Infine, relativamente ai diritti dell’interessato, le SCC prevedono per il responsabile del trattamento, tra l’altro, l’obbligo di informare il titolare circa la ricezione di richieste da parte degli interessati e dispongono altresì il divieto per il medesimo di evadere tali richieste fino a quando non sia stato sia stato autorizzato in tal senso dal titolare del trattamento.

Le SCC a confronto con le Linee Guida EDPB

Il tema dell’accordo tra titolare e responsabile del trattamento è stato affrontato dall’EDPB nelle sue recenti Linee guida n. 7/2020 sui concetti di titolare e responsabile del trattamento nel GDPR.

Facendo un confronto tra i due provvedimenti si può osservare come sia l’EDPB che la Commissione ricordano come le SCC consentano un certo grado di flessibilità (facendo riferimento al Considerando 109 del GDPR).

Il titolare e il responsabile sono quindi liberi di stipulare un contratto aggiungendo ulteriori clausole, a condizione che esse non siano in contraddizione, direttamente o indirettamente, con le SCC o che pregiudichino i diritti o le libertà fondamentali degli interessati.

L’EDPB raccomanda, inoltre, che un contratto ex art. 28 GDPR non possa limitarsi a riformulare le disposizioni del GDPR, ma deve piuttosto includere descrizioni specifiche e più dettagliate di come le parti soddisferanno i requisiti previsti dal Regolamento.

Per agevolarne l’adempimento le SCC della Commissione forniscono un quadro ricco di informazioni e “pronto all’uso” che aiuterà senz’altro i titolari e loro responsabili a conformarsi alla raccomandazione dell’EDPB.

Non tutte le raccomandazioni contenute nelle linee guida dell’EDPB sembrano essere esplicitamente trattate nelle SCC. Ad es. l’EDPB ritiene che un contratto ex articolo 28 GDPR “debba includere o fare riferimento” all’obbligo per il responsabile del trattamento di ottenere l’approvazione del titolare prima di apportare modifiche alle misure di sicurezza dei dati. Ciò pare non essere disciplinato dalle clausole della Commissione (almeno nell’attuale versione).

Come già precisato, una caratteristica interessante del contributo offerto dalla Commissione sono i sette allegati che dovranno essere compilati dalle parti con informazioni e descrizioni specifiche relative al trattamento dei dati. Le linee guida dell’EDPB possono fornire informazioni preziose su come completare al meglio questi allegati, a dimostrazione della complementarietà tra i due contributi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5