L'APPROFONDIMENTO

Clausole contrattuali tra titolare e responsabile del trattamento: una coerente applicazione

I meccanismi di cooperazione e coerenza previsti dal GDPR consentono un’uniformità di applicazione sul territorio europeo del Regolamento UE. Ecco una concreta applicazione del meccanismo di coerenza alle clausole contrattuali ex art. 28 nel rapporto tra titolare e responsabile del trattamento

03 Mar 2020
O
Francesca Orfanelli

Funzionario presso Autorità Garante per la protezione dei dati personali


Uno degli elementi di maggiore novità previsti dal Regolamento Europeo Generale in materia di protezione dati (di seguito GDPR) è la dimensione europea nella quale operano le Autorità di controllo nazionali. Detta dimensione è stata rafforzata rispetto al passato in conseguenza della decisione di affidare la disciplina della protezione dati ad un regolamento, con l’obiettivo di superare la frammentazione dell’applicazione della normativa nel territorio dell’Unione che la direttiva 95/46/CE non aveva impedito. Come evidenziato negli stessi “considerando” del GDPR infatti, lo strumento della direttiva aveva comportato una compresenza di diversi livelli di protezione negli Stati membri.

Anche per questo il lungimirante legislatore europeo optava per l’adozione di uno strumento normativo più incisivo per assicurare un livello coerente di protezione, per garantire una maggior certezza del diritto, per prevedere i medesimi obblighi e responsabilità, nonché per assicurare un controllo coerente e sanzioni equivalenti in tutti gli Stati membri.

I meccanismi di cooperazione e coerenza previsti dal GDPR

Precipua espressione della nuova dimensione europea sono i meccanismi di cooperazione e coerenza previsti dal GDPR al CAPO VI. Seppur già la cooperazione (ossia la collaborazione tra Autorità di controllo, l’assistenza reciproca e la possibilità di effettuare azioni congiunte) implichi un coordinamento a livello europeo dal punto di vista procedurale e programmatico, è in particolare il meccanismo di coerenza che consente un’uniformità di applicazione sul territorio europeo, attuata tramite il dialogo tra Autorità nazionali e Comitato Europeo per la Protezione dati (in seguito “Comitato” o “Board”).

L’applicazione coerente è affidata ad alcune procedure che prevedono il rilascio di un parere da parte del Board a seguito della comunicazione da parte delle Autorità nazionali di un progetto di decisione (cfr. art. 64 del GDPR) concernente l’elenco di trattamenti soggetti al requisito della valutazione d’impatto sulla protezione dei dati, richieste di conformità di codici di condotta, decisioni in materia di certificazioni ed accreditamento, clausole tipo per il trasferimento dei dati all’estero, clausole contrattuali standard con riguardo all’art. 28 del GDPR.

Il parere è adottato dal Board entro otto settimane (salvo possibilità di proroga di ulteriori sei settimane) a maggioranza semplice dei membri.

Nelle more di detto termine l’Autorità di controllo si astiene dall’adottare il suo progetto di decisione.

Il ruolo cardine del Board si esprime pertanto nell’emissione di un parere sulla questione presentata che l’Autorità di controllo tiene nella massima considerazione. È previsto infatti che entro due settimane dal ricevimento del parere, l’Autorità comunichi al Comitato se intende mantenere o modificare il progetto di decisione e, se del caso, il progetto di decisione modificato. Qualora ciò non avvenga, il Comitato procede con l’adozione di una decisione vincolante (cfr. art. 65, paragrafo 1 del GDPR).

Ulteriore espressione del meccanismo di coerenza è infatti la prerogativa del Board di procedere ai sensi dell’art. 65 del GDPR, componendo eventuali controversie, oltre che nel caso sopra citato, ad esempio qualora vengano sollevate obiezioni da un’Autorità di controllo interessata a un progetto di decisione dell’Autorità di controllo capofila o qualora vi siano opinioni contrastanti in merito alla competenza delle Autorità di controllo interessate.

Focalizziamo qui l’attenzione sul caso dell’applicazione del meccanismo di coerenza previsto all’art. 28 del GDPR, ossia l’adozione da parte delle Autorità di controllo di clausole contrattuali tipo per quanto riguarda il rapporto tra Titolare e Responsabile del trattamento dei dati.

Clausole contrattuali tra titolare e responsabile: la norma

Ma riepiloghiamo cosa prevede l’art. 28 del GDPR: in caso di trattamento che debba essere effettuato per conto del Titolare, quest’ultimo ricorre unicamente a soggetti qualificati come Responsabili che presentano garanzie sufficienti volte a dimostrare il rispetto dell’accountability e la tutela dei diritti dell’interessato.

Il GDPR prescrive che i trattamenti da parte di un Responsabile siano disciplinati da un contratto o da altro atto giuridico, che vincoli il Responsabile al Titolare e che abbia ad oggetto:

  • materia, durata, natura e finalità del trattamento;
  • tipologia di dati personali e categorie di interessati;
  • obblighi e diritti del Titolare.

Detto contratto o altro atto giuridico prevede, in particolare, che il Responsabile:

  1. tratti i dati personali soltanto su istruzione documentata del Titolare, anche in caso di trasferimento di dati personali verso un paese terzo;
  2. garantisca che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  3. adotti le misure adeguate di sicurezza ai sensi dell’articolo 32;
  4. rispetti le condizioni per ricorrere a un altro Responsabile;
  5. assista il Titolare con misure tecniche e organizzative adeguate al fine di garantire l’esercizio dei diritti dell’interessato;
  6. assista il Titolare nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36;
  7. su scelta del Titolare, cancelli o restituisca tutti i dati personali dopo che è terminata la prestazione e cancelli le copie esistenti, salvo vi sia un obbligo normativo di conservazione dei dati;
  8. metta a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal Titolare o da un altro soggetto da questi incaricato.

Il Responsabile è tenuto ad informare immediatamente il Titolare qualora, a suo parere, un’istruzione violi il GDPR o altre disposizioni relative alla protezione dei dati.

L’art. 28 prevede inoltre che nel caso in cui il Responsabile ricorra a un altro soggetto, debba avere una previa autorizzazione scritta, specifica o generale, del Titolare.

Fermo quanto sopra, nel caso in cui un Responsabile ricorre a un altro Responsabile per l’esecuzione di specifiche attività di trattamento, su tale altro Responsabile sono imposti, con atto vincolante, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il Titolare e il Responsabile.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Privacy

Qualora l’altro Responsabile ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile iniziale conserva nei confronti del Titolare l’intera Responsabilità dell’adempimento degli obblighi dell’altro Responsabile.

Come anticipato, un’Autorità di controllo può adottare delle clausole contrattuali da sottoporre al meccanismo di coerenza e quindi al parere del Board.

Possiamo ricavare utili informazioni è ripercorrere alcuni dei passaggi dell’Opinion 14/2019, emessa dal Board, a seguito della sottoposizione di una bozza di clausole standard da parte dell’Autorità danese.

Il Board specifica che le clausole standard debbono dettagliare quanto già indicato nel testo dell’art. 28 del GDPR e che pertanto la mera riproposizione di quanto già statuito nel testo del GDPR non è idonea a costituire parte delle clausole standard. Al contempo non possono fare parte di dette clausole specificazioni inerenti aspetti di tipo commerciale/contrattuale in quanto profili rimessi alle parti.

Titolare e Responsabile possono aggiungere, secondo il Comitato, alcune specificazioni o maggiori garanzie, purché non siano in contrasto direttamente o indirettamente con le clausole contrattuali, costituendo quindi modifiche sostanziali che farebbero venire meno quindi la natura stessa di previsione standard.

Di regola il Comitato ritiene che contratto principale e data processing agreement vadano di pari passo e debbano pertanto avere la stessa durata, salvo in casi eccezionali, ad esempio laddove il trattamento dei dati termini prima dello scadere del rapporto contrattuale.

Interessante notare come il Board fornisca indicazioni molto operative e di buon senso, invitando l’Autorità danese ad inserire nel testo delle clausole standard riferimenti generali alle normative di settore, piuttosto che a singoli atti normativi e leggi specifiche. Inoltre, a più riprese il Comitato suggerisce di attenersi al lessico del GDPR, per evitare equivoci.

Clausole contrattuali e subresponsabili

Con riguardo poi alle istruzioni per il Responsabile, il Comitato afferma che è possibile che ulteriori indicazioni vengano fornite dal Titolare anche durante la durata del contratto, ma che esse debbono essere sempre documentate, in linea con il principio di accountability di cui all’art. 24 del GDPR.

Il Board precisa altresì che devono essere previste conseguenze e soluzioni in caso di istruzioni da parte del Titolare che non siano rispettose della normativa.

Vengono anche affrontati in dettaglio i profili concernenti la riservatezza e la confidenzialità e viene evidenziato dal Comitato l’obbligo di individuare i soggetti autorizzati da parte del Responsabile sulla base del principio di necessità (on a “need to know” basis). L’elenco delle persone autorizzate ad avere accesso ai dati deve inoltre essere sottoposto a revisione e verifica periodica.

Di particolare rilievo la precisazione del Board che invita l’Autorità danese ad “allargare” la platea dei soggetti autorizzati, sostituendo il termine “employees”, ossia lavoratori dipendenti, con locuzioni più ampie quali ad esempio “persone che agiscono sotto l’Autorità del Responsabile” o che siano alle dipendenze “direttamente o indirettamente” del Responsabile.

Con riferimento alla parte delle clausole contrattuali standard relativa alla disciplina del rapporto con i c.d. subresponsabili, il Comitato invita tra l’altro l’Autorità danese ad includere in appendice la lista dei subresponsabili accettata dal Titolare al momento della firma dell’accordo.

Quanto sopra non solo in caso di autorizzazione specifica, ma anche di autorizzazione generale: in quest’ultima ipotesi infatti è previsto che il Responsabile debba informare il Titolare di eventuali modifiche, dandogli la possibilità di opporsi.

Allegare la lista dei subresponsabili alle clausole standard consente al Titolare di rimanere informato su eventuali mutamenti e di poter esercitare il diritto di opposizione in modo effettivo, avendo a disposizione sufficiente tempo. Ciò in quanto è il Titolare del trattamento a dover sempre mantenere il controllo sui dati oggetto dell’affidamento.

Parte dell’Opinion è dedicata alle modalità con le quali il Responsabile è vincolato ad assistere il Titolare in caso di richieste di esercizio diritti avanzate da interessati. Il Comitato invita infatti l’Autorità danese a dettagliare maggiormente quelle che sono le concrete modalità di assistenza, ad esempio come ed in che tempi il Responsabile debba avvisare il Titolare in caso di richieste che gli pervengano direttamente.

Occorre ad esempio dettagliare la possibilità o meno per il Responsabile di prendere contatti direttamente con gli interessati.

Allo stesso modo è necessario che siano dettagliate le modalità di adempimento per l’assistenza relativa alle misure di sicurezza.

A tal proposito con riguardo al data breach il Board sottolinea che nelle clausole standard va precisato che è compito e responsabilità del Titolare decidere se notificare un data breach.

Con riferimento agli obblighi inerenti la cancellazione o la restituzione dei dati a fine rapporto il Board indica che questa alternativa va precisata ed inoltre che può essere consentita la possibilità di mutare la scelta effettuata.

Audit ed ispezioni devono essere previsti sia nei confronti del Responsabile che del subresponsabile e il Titolare deve poter avere accesso ai luoghi dove avviene il trattamento dei dati.

Deve inoltre essere espressamente prevista la possibilità per il Titolare di contestare l’esito degli audit e richiedere l’implementazione di conseguenti misure di adeguamento/correttive.

A conclusione dell’Opinion il Comitato sottolinea da una parte la necessità di dettagliare quelli che sono la natura del trattamento, i dati trattati, ecc. e dall’altra che eventuali previsioni in tema di responsabilità, legge applicabile, giurisdizione, ecc. non devono contraddire le regole previste dal GDPR.

L’Opinion del Comitato si conclude con l’invito a modificare le clausole standard sulla scorta delle indicazioni fornite, affinché esse possano essere adottate direttamente dall’Autorità danese, senza necessità di ulteriori passaggi.

Sul sito dell’EDPB sono disponibili le clausole emendate datate gennaio 2020 nelle quali l’Autorità danese ha specificato tra l’altro:

  • l’obbligo per il Responsabile di dimostrare il vincolo alla riservatezza e confidenzialità di coloro che operano sotto la sua autorità;
  • la possibilità che al Titolare sia messa a disposizione una copia del contratto tra Responsabile e subresponsabile, onde poter verificare compiutamente che siano inseriti gli stessi obblighi in materia di protezione dei dati contenuti nel contratto tra il Titolare e il Responsabile;
  • l’obbligo per il Responsabile – in caso di ispezioni – di far accedere alle proprie strutture personale delle Autorità di controllo.

Conclusioni

Da questa panoramica emerge il ruolo cardine del Board nell’applicazione del meccanismo di coerenza. In attesa che altre Autorità sottopongano a loro volta clausole contrattuali standard, altri esempi della c.d. consistency possono ricavarsi dagli elenchi di trattamenti da sottoporre alla DPIA.

Per concludere, alla cooperazione e coerenza caratterizzanti quindi la dimensione europea nella quale si muovono le Autorità di controllo, deve fare da contraltare una visione ed attenzione più europea da parte degli interessati, operatori economici e istituzioni, pur nella specificità dei diversi sistemi normativi nazionali.

Contributo a titolo personale: le opinioni espresse non vincolano in alcun modo l’Autorità

WEBINAR
Sicurezza IT: focus su casi reali, “schemi di gioco” e organizzazioni criminali
Cybersecurity
Sicurezza dei dati

@RIPRODUZIONE RISERVATA

Articolo 1 di 4