Nuove clausole standard per i contratti con i responsabili del trattamento: un bilancio finale - Cyber Security 360

GDPR

Nuove clausole standard per i contratti con i responsabili del trattamento: un bilancio finale

Le nuove clausole contrattuali standard dedicate ai rapporti tra titolari e responsabili del trattamento costituiscono un aiuto più concreto verso le PMI rispetto alle SCC dedicate ai trasferimenti dati extra-UE e dunque utilizzabili come base di partenza per finalizzare eventuali contratti. Ecco i dettagli

10 Giu 2021
L
Gianmaria Le Metre

Avvocato, Privacy advisor

M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Dopo un’analisi dei punti nodali delle nuove Clausole Contrattuali Standard (SCC) per il trasferimento di dati personali in Paesi extra-UE, emanate dalla Commissione Europea nella loro versione definitiva dopo la consultazione pubblica, non si possono dimenticare le “gemelle” SCC dedicate ai rapporti tra titolari e responsabili del trattamento ex art. 28.7 GDPR, a modello di contratto da redigere tra le parti.

Le due SCC sono profondamente simbiotiche e la Commissione stessa ne ha sottolineato la possibilità di “cumulo” in capo ai medesimi soggetti, per consentire un trasferimento extra-UE dei dati trattati dal responsabile.

Le premesse specificano che le clausole “non garantiscono di per sé il rispetto degli obblighi relativi ai trasferimenti internazionali”, da integrare – eventualmente – con le SCC dedicate o poggiando su basi di trasferimento dei dati ai sensi del Capo V del GDPR.

Rispetto all’analisi già dedicata alle precedenti SCC, qui possiamo limitarci a segnalare cosa e come sia cambiato nel testo finale rispetto alla bozza esaminata mesi fa dagli scriventi sempre per queste colonne e cosa sarebbe stato opportuno migliorare.

Il documento si pregia di essere il primo contributo, ufficiale e definitivo (il 12 novembre 2020 era stata rilasciata la citata bozza), pubblicato da un’istituzione unionista in merito ai tanto discussi rapporti tra titolare e responsabile, sebbene modelli di contratto fossero già stati adottati in precedenza da alcune autorità (come quella danese) e riconosciuti a livello comunitario dall’EDPB.

Ricordiamo che l’adozione delle SCC non è un obbligo per la definizione dei rapporti in parola ma è senz’altro da considerarsi un valido strumento per la redazione dell’accordo titolare-responsabile e per conoscere il grado di dettaglio che la Commissione Europea – ma soprattutto le autorità di controllo – si aspettano di riscontrare circa il contenuto che dovrà avere un accordo conforme ai principi stabiliti dall’art. 28 GDPR. Uno strumento che, nelle intenzioni, dovrebbe fornire più certezze in sede di accountability.

Le differenze tra la versione definitiva e la bozza

Non molte e per lo più riguardanti l’ordine delle informazioni sono le differenze tra le SCC in versione definitiva di giugno 2021 e quella in bozza del novembre 2020.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

In generale dai sette allegati previsti nella versione precedente, le SCC definitive prevedono un totale di 4 allegati, avendo “perso” nel frattempo:

  1. le misure tecniche e organizzative del responsabile per ottemperare all’obbligo di assistenza nei confronti del Titolare (Allegato VII);
  2. quello riguardante le restrizioni specifiche e/o garanzie aggiuntive in caso di trattamento di dati particolari (Allegato V);
  3. infine, l’allegato riguardante le istruzioni impartite dal titolare al responsabile (Allegato IV). Come vedremo, la Commissione non ha affatto rimosso tali temi bensì ha cercato di incorporarli negli allegati residui, non è sempre chiaro con quale maggiore efficacia considerata la delicatezza di tali aspetti.

Attenzione: riguardo alle istruzioni titolare-responsabile le SCC (clausola 7 – “Istruzioni delle parti”) sono puntuali nel ricordare al lettore che il responsabile deve trattare i dati personali solo su istruzione documentata da parte del titolare del trattamento, salvo che ciò non sia espressamente richiesto dal diritto dell’Unione o da una norma dello Stato membro alla quale è soggetto il responsabile.

Rispetto alla “versione provvisoria”, le SCC nella veste definitiva sottolineano come sia onere del responsabile avvisare il titolare prima del trattamento, a meno che non sia proibito dalla legge per importanti motivi di interesse pubblico.

Deve essere chiaro, lo ribadiamo, che tali istruzioni dovranno essere specifiche, contestualizzate, tenendo conto dei rischi del trattamento (valutati dal titolare) e delle relative misure di sicurezza (sempre stabilite dal titolare, anche con la collaborazione del responsabile, che comunque potrà offrire le proprie e trovare l’accettazione del titolare). Fare un generico rimando all’art. 32 GDPR è di per sé da considerarsi insufficiente.

Quanto alle restrizioni e/o garanzie ulteriori per il trattamento dei dati particolari le SCC anziché prevedere un allegato ad hoc suggeriscono di ricomprendere queste informazioni all’interno dell’Allegato II che tratta in generale il tema della “descrizione del trattamento”.

Ciò non vuol dire che queste informazioni abbiano perso importanza o non debbano essere accuratamente specificate. Semplicemente, per “comprimere” il numero di allegati, la Commissione suggerisce di inserire queste informazioni nell’allegato relativo alla descrizione dei trattamenti.

In tema di misure tecniche e organizzative del responsabile per ottemperare all’obbligo di assistenza nei confronti del Titolare, pur venendo meno l’Allegato VII, le SCC chiariscono che queste informazioni siano di fondamentale importanza e che debbano essere indicate nell’Allegato III (che tratta il tema più generale delle misure tecniche e organizzative per garantire la sicurezza dei dati).

Inoltre, la Clausola 8 – “Assistenza al Titolare”, prevede per il responsabile il “nuovo obbligo” di garantire che i dati personali siano accurati e aggiornati, nonchè di informare senza indugio il titolare del trattamento se i dati personali trattati sono inesatti o sono diventati obsoleti.

Rispetto alle misure di sicurezza, l’Allegato III prevede che venga fatta una descrizione delle misure di sicurezza tecniche e organizzative messe in atto dal o dai responsabile/i (comprese eventuali certificazioni pertinenti) per garantire un livello di sicurezza adeguato, tenuto conto della natura, dell’ambito, del contesto e delle finalità del trattamento, nonché del rischi per i diritti e le libertà delle persone fisiche.

Le misure vengono suddivise in diverse categorie quali: misure di pseudonimizzazione, misure per garantire la riservatezza, l’integrità, la disponibilità e la resilienza continue di sistemi e servizi di elaborazione, misure di disaster recovery e business continuity, misure per l’identificazione e l’autorizzazione dell’utente, per garantire la minimizzazione e la qualità dei dati, in un elenco particolarmente completo ed esaustivo proprio per ribadire il principio per il quale alle parti deve essere chiesto uno sforzo ulteriore rispetto a un generico rimando.

Da ultimo le misure prevedono altresì le specifiche tecniche e organizzative che il responsabile o sub-responsabile del trattamento deve adottare per i trasferimenti dei dati nonché una descrizione delle misure tecniche e organizzative specifiche che devono essere adottate dal responsabile per poter fornire assistenza al titolare.

Le novità sulle singole clausole

Riguardo il contenuto vero e proprio delle SCC si può tranquillamente affermare che la struttura e il contenuto delle singole clausole è generalmente rimasto piuttosto inalterato.

La clausola 7.2 – oltre a ribadire il principio per il quale il responsabile deve trattare i dati solo per “le finalità specifiche indicate nell’Allegato II” – aggiunge altresì la locuzione “salvo che non riceva ulteriori istruzioni da parte del titolare del trattamento”, come a voler concedere a quest’ultimo la possibilità di allargare lo spettro delle finalità senza dover ripassare per le vie formali.

Al punto 7.6 le SCC definitive specificano che il titolare – per verificare durante un audit il grado di compliance del responsabile – può anche tener conto delle relative certificazioni in possesso del responsabile.

Quanto all’utilizzo di sub-responsabili, la clausola 7.7 lett. e) introduce un principio (“clausola del terzo beneficiario”) per il quale nel caso in cui il responsabile sia di fatto scomparso, fallito o estinto giuridicamente, il titolare ha il diritto di sostituirsi nei rapporti verso il sub-responsabile, terminando il contratto e ordinando a quest’ultimo di procedere con la cancellazione e restituzione dei dati personali.

Infine, riguardo al data breach viene meno l’indicazione della tempistica di 48 ore entro la quale il responsabile deve contattare il titolare per una violazione dei dati personali. Le SCC riprendono la più generica espressione con cui il responsabile deve “comunicare senza indebito ritardo” la violazione al titolare, ribadendo il dovere di comunicare informazioni quali:

  1. una descrizione della natura della violazione (compreso, ove possibile, le categorie e numero approssimativo di interessati e di dati violati);
  2. gli estremi di un punto di contatto in cui ottenere maggiori informazioni sui dati personali;
  3. le probabili conseguenze e le misure adottate o di cui si propone l’adozione per affrontare la violazione, anche per mitigarne i possibili effetti negativi.

Sebbene questa modifica possa sembrare penalizzante quanto a certezza, risponde a osservazioni pregresse di EDPB ed EDPS circa la necessità di lasciare alle parti la libertà di valutare, caso per caso, a causa di situazioni in cui le predette 48 ore possono essere limitanti o ambigue. Resta comunque un parametro benchmark da inserire nel contratto per maggiore certezza.

Sintesi del contenuto delle SCC

Al netto delle differenze sopra riportate, le SCC confermano il contenuto della versione iniziale i cui elementi salienti sono:

  1. Clausola 2, per cui le parti possono stipulare un contratto più ampio e aggiungere altre clausole o ulteriori obblighi purché non contraddicano, direttamente o indirettamente, la SCC o siano pregiudizievoli dei diritti o le libertà fondamentali degli interessati;
  2. Clausola 4 (rubricata come “Gerarchia”) stabilisce che in caso di conflitto tra le SCC ed eventuali disposizioni di qualsiasi altro accordo esistente tra le parti, saranno le prime a prevalere sulle seconde;
  3. Clausola 7, più volte menzionata, sugli obblighi delle parti; notiamo che al punto b) della stessa – in caso di istruzioni del titolare ritenute dal responsabile in violazione del GDPR – non è previsto altro che quanto già indicato nel GDPR, cioè l’obbligo per il responsabile di informare il titolare. Ciò potrebbe giustificare un’apposita previsione circa la risoluzione unilaterale del contratto, da integrare a giudizio delle parti coinvolte;
  4. Clausola 10 che ripropone l’interessante punto sulla risoluzione e sospensione del contratto (e, aggiungiamo, anche il collegato contratto di servizio che dovrà farvi cenno) ove si prevede che qualora il responsabile non sia in grado di adempiere ai propri impegni, il titolare possa sospendere temporaneamente il trattamento finché non si ripristini la corretta esecuzione.

Quanto all’utilizzo di eventuali sub-responsabili, le SCC prevedono per l’inquadramento del rapporto tra costoro e le parti contraenti tramite due opzioni:

  • a) il responsabile del trattamento può munirsi di una specifica autorizzazione “preventiva”, rilasciata dal titolare; in questo caso, il responsabile non può delegare a sub-responsabili operazioni sui dati personali da eseguirsi per conto dei dati titolare del trattamento senza la sua preventiva approvazione scritta, che dovrà pervenire entro un determinato periodo di tempo previsto dalle parti;
  • b) il titolare del trattamento può rilasciare per iscritto un’autorizzazione generale al responsabile che consenta a quest’ultimo di munirsi di sub-responsabili, salvo opposizione eventuale del titolare;
  • in entrambi i casi, si prevede che qualsiasi modifica relativa all’aggiunta, rimozione o sostituzione di sub-responsabili dovrà essere annotata nell’elenco dei sub-responsabili di cui all’Allegato IV (prima Allegato VI) che dovrà essere costantemente aggiornato da entrambe le parti.

Conclusioni

Come già espresso a suo tempo da EDPB-EDPS, la Commissione con il suo standard pare non aver colto la possibilità di fornire indicazioni meno generiche, rispetto a quanto già previsto dall’art. 28 – commi 3 e 4 – GDPR.

Costituisce tuttavia un aiuto più concreto verso le PMI rispetto alle altre SCC dedicate ai trasferimenti internazionali – assai più complesse nella loro valutazione e implementazione – e che dunque probabilmente non saranno spesso utilizzate in tandem come auspicato dalla Commissione genitrice.

Un tema sollevato dalle autorità di controllo ma non risolto dalla Commissione è quella della invariabilità (clausola 2), cioè dell’aggiunta o modifica – probabile nella prassi – di clausole rispetto al modello: sarebbe stato opportuno offrire un’indicazione su quali possano essere i casi di contraddizione con quanto previsto nelle SCC.

L’incertezza sarà un portato probabile di questa versione, in merito, lasciando agli utilizzatori ogni onere di valutazione circa il peso di ogni modifica o integrazione. Idem per la clausola 5 sull’ancoraggio: la qualifica e il ruolo di una nuova parte contrattuale sarebbe dovuta figurare chiaramente negli allegati alle SCC, chiedendo alle parti di precisare e delimitare ulteriormente la ripartizione delle responsabilità, oltre a indicare chiaramente quale trattamento viene effettuato e da chi.

Il modello richiede ora solo i meri dati di contatto e la firma. Si tratta di mancanze non fondamentali, sia chiaro, ma che sminuiscono il potenziale di uno standard nell’aiutare nell’accountability dei soggetti coinvolti.

Riprendendo il giudizio accennato nel nostro precedente scritto, l’iniziativa della Commissione va ribadito essere un utile contributo, un tentativo da salutare positivamente per fornire strumenti uniformi circa gli adempimenti richiesti dal GDPR.

Nondimeno pare più un’occasione forse più mancata che riuscita per fornire un modello davvero utile ai titolari e responsabili, soprattutto a fronte della mancata ricezione di svariate ponderate osservazioni pregresse delle autorità di controllo europee.

Se si effettua un confronto, il modello proposto alla fin fine non differisce molto da quello precedentemente già approvato dall’EDPB e coniato dall’autorità di controllo danese per questi rapporti.

Ai responsabili-titolari più accorti non resterà che utilizzare tale modello come base di partenza per finalizzare il proprio accordo (anche per adattarlo alla normativa civilistica locale, si pensi ad es. alle clausole generali di contratto), magari facendo tesoro delle lacune segnalate dal gruppo di autorità unioniste – le stesse autorità che saranno chiamate a valutare, assieme agli organi giurisdizionali, le eventuali violazioni del GDPR.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 3