L’uso di testi standard per redigere il DPA (Data Processing Agreement, l’accordo per il trattamento dei dati personali) non sempre è una mossa corretta, tanto che può portare a risultati non compliant al GDPR. Non sempre il contenuto base suggerito dalla normativa basta a soddisfare i criteri di adeguamento, per cui la personalizzazione del contratto sarebbe indicata.
Il problema può verificarsi, per esempio, se a redigere il contratto è il responsabile del trattamento dei dati, che potrebbe non accogliere tutte le richieste del titolare e basarsi solo su quanto già fatto: proponendo uno standard di questo genere, il rischio è che il titolare si adegui alle misure individuate dal responsabile e non viceversa. Il paradosso merita una riflessione approfondita.
Indice degli argomenti
Responsabili del trattamento: definizione e caratteristiche
La designazione dei responsabili esterni del trattamento è un obbligo: non ci sono dubbi, e non ci sono deroghe. Il responsabile del trattamento, cioè la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del titolare del trattamento, deve e può procedere in tal senso solo sulla base di «un contratto o [d]a altro atto giuridico a norma del diritto dell’Unione o degli Stati membri» che lo vincoli al titolare del trattamento e che definisca e regoli le attività di trattamento che esegue su incarico di quest’ultimo.
La prima cosa da sottolineare è che l’obbligo di designare i responsabili del trattamento esiste sostanzialmente da sempre: viene allora da chiedersi perché (è capitato e capiterà ancora) soggetti che, sino al 25 maggio 2018, si qualificavano come titolari autonomi abbiano poi improvvisamente rivendicato il proprio ruolo di responsabili (e viceversa) pur continuando ad eseguire le medesime attività di trattamento. A domanda, la risposta solitamente è “perché è entrato in vigore il GDPR”: peccato che il GDPR non solo non ha il merito di aver introdotto l’obbligo di designazione dei responsabili del trattamento, ma nemmeno ha quello di aver modificato la definizione e le caratteristiche delle figure del titolare e del responsabile del trattamento. In poche parole: chi è responsabile del trattamento oggi, lo era anche prima.
Data Processing Agreement: il gioco dei ruoli
La vera novità è che il GDPR ha indicato un contenuto minimo che ogni Data Processing Agreement (DPA) deve includere, rendendo così sostanzialmente certo che siano sempre regolamentati quantomeno la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, nonché gli obblighi e i diritti del titolare del trattamento. Si tratta, è bene sottolinearlo, di un contenuto minimo: necessario, quindi, ma non necessariamente sufficiente. Bisogna andare oltre? Forse. È il titolare a doverlo dire, a doverlo decidere: caso per caso. È il titolare a dover valutare, in base alle attività di trattamento che affida al proprio responsabile e, perché no, anche in base alle garanzie che il responsabile offre in relazione alle misure tecniche e organizzative da mettere in atto, se sia o meno necessario integrare quel contenuto minimo, arricchendolo con ulteriori diritti o obblighi.
Ma nella realtà, spesso e volentieri, si verifica l’opposto: non è il titolare, ma il responsabile a stendere il testo del DPA, finendo con l’imporne l’uso al titolare del trattamento e, indipendentemente dal soggetto che redige il DPA, si privilegiano dei testi standard. Addirittura, la standardizzazione copre anche la fase pre-contrattuale, quella della verifica del possesso, da parte del responsabile, di garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate per la tutela dei diritti degli interessati, verifica che viene sostituita da una checklist che il responsabile deve compilare come una sorta di autodichiarazione o autocertificazione restituendo di sé necessariamente (pena la perdita di un incarico) un’immagine virtuosa.
Standard non sempre corretti
Le generalizzazioni sono come gli standard: utili, ma non sempre corrette. Lo standard non è da bandire di per sé, lo è nella misura in cui viene utilizzato in modo acritico, senza spazio per le dovute personalizzazioni quando servono. Se ben ragionato, se calibrato sulle esigenze del titolare, è comunque un valido strumento di compliance. Il più delicato è il caso in cui lo standard di DPA proviene dal responsabile del trattamento.
Potrebbe sembrare che non ci sia differenza tra uno standard redatto dal titolare, e uno redatto dal responsabile. Alla fine, si tratta comunque sempre di un contratto, il cui contenuto minimo è predeterminato dalla legge: una parte avanza una proposta, l’altra parte la esamina e, se c’è accettazione, il contratto viene concluso e il risultato finale, cioè l’adempimento dell’obbligo di sottoscrizione di un DPA, viene raggiunto indipendentemente dalla provenienza del testo-base. Stiamo, però, parlando di uno standard: un accordo che, in quanto tale, la parte proponente tenderà a considerare non modificabile perché già conforme alla propria realtà.
Uno standard predisposto da un titolare indica, nella migliore delle ipotesi, anche tutte le misure che il titolare ritiene necessarie per la tutela dei dati personali che vengono trattati dal responsabile: è facile capire che il responsabile che vuole accettare l’incarico deve adeguarsi e accettare le richieste, anche in termini di misure di sicurezza, avanzate dal titolare. Uno standard predisposto da un responsabile non sarà, quantomeno non sempre, perfettamente rispondente a quelle che potrebbero essere le richieste e le esigenze del titolare: conterrà, tendenzialmente, le misure che il responsabile ha già adottato, e che non necessariamente saranno adeguate rispetto al trattamento di dati personali che il titolare sta affidando al responsabile. Ma se intende avvalersi di quello specifico responsabile del trattamento, in questo caso sarà il titolare a doversi verosimilmente adeguare e a dover accettare le misure che il responsabile (e non il titolare) ha ritenuto sufficienti. Ecco, quindi, che lo standard può diventare uno strumento di non-compliance.
La doppia sottoscrizione
C’è anche un altro aspetto da tenere in considerazione: uno standard non negoziabile potrebbe essere assimilato a delle condizioni generali di contratto, con la logica conseguenza della necessità della doppia sottoscrizione nei casi di cui all’art. 1341 c.c..
Quanti DPA richiedono la doppia sottoscrizione delle clausole che prevedono limitazioni di responsabilità e facoltà di recesso a favore della parte che li ha predisposti? Forse la domanda non vale la pena di essere posta: chi subirà le conseguenze di un DPA non conforme al GDPR sarà sempre e comunque l’interessato.
