Obblighi e facoltà di fornitori e appaltatori: come evitare sanzioni e potenziare la reputazione aziendale

Le imprese che trattano dati personali in qualità di “titolari” hanno la responsabilità generale per qualsiasi trattamento che eseguano direttamente o che altri (i.e. i fornitori/appaltatori) eseguano per loro conto^[1].

Questa responsabilità non può essere trasferita ma soltanto attentamente gestita attraverso l’adempimento di specifici obblighi.

Si tratta di obblighi stabiliti dal GDPR a carico dei titolari, al fine di garantire che i dati personali, che devono essere trattati, siano sempre adeguatamente protetti, durante l’intero ciclo di vita del trattamento, i.e. dal momento della raccolta fino alla anonimizzazione/cancellazione.

Particolare rilevanza assumono gli obblighi fissati dal GDPR per presidiare le aree di maggiore vulnerabilità organizzativa, tra le quali spiccano certamente quelle ove i processi produttivi delle aziende incrociano la filiera dei fornitori (la c.d. supply chain) che nell’ecosistema privacy assumono il ruolo di “responsabili del trattamento”.

Sistema di data protection: come attribuire ruoli e responsabilità in imprese e PA

Individuazione e scelta dei responsabili del trattamento

Per garantire un’adeguata salvaguardia di queste aree organizzative che necessitano di un presidio più incisivo, l’impresa che debba esternalizzare delle operazioni di trattamento, affidandole ad un’organizzazione esterna, è obbligata a:

1. ricorrere unicamente a fornitori/appaltatori che – dovendo assumere il ruolo privacy di “responsabili del trattamento” – presentino garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per sviluppare processi aziendali conformi ai principi ed alle regole fissate dal GDPR;
2. vincolare detti fornitori/appaltatori attraverso un contratto o altro atto giuridico (il c.d. DPA: Data Processing Agreement), che fissi precise istruzioni e pertinenti condizioni di garanzia.

Il contratto che vincola titolari e responsabili del trattamento

Per formalizzare i rispettivi ruoli privacy tra “committente” e “fornitore” non è sufficiente inserire qualche clausola all’interno del contratto di appalto o di fornitura ma è necessario stipulare un apposito contratto che abbia come contenuto minimo tutte le condizioni fissate nel paragrafo 3 dell’art 28 GDPR.

I Garanti Europei hanno chiarito che^[2] un contratto scritto a norma dell’articolo 28, paragrafo 3, del GDPR può anche essere integrato in un contratto più ampio, come, e.g. un accordo sul livello dei servizi. Al fine di agevolare la dimostrazione della conformità al GDPR, gli stessi Garanti Europei raccomandano che gli elementi del contratto volti a dare attuazione all’articolo 28 del GDPR siano chiaramente identificati come tali in un unico punto (ad esempio in un allegato).

Invero, le attività di trattamento dei dati sono spesso svolte da un gran numero di soggetti e le catene di esternalizzazione diventano sempre più complesse^[3]. Il GDPR introduce obblighi specifici che scaturiscono laddove un “responsabile del trattamento” intenda coinvolgere un altro soggetto (il c.d. sub-responsabile), aggiungendo in tal modo un altro anello alla catena e affidandogli attività che richiedono il trattamento di dati personali. In questo caso il fornitore/responsabile può esternalizzare parte dei trattamenti di dati che deve eseguire per conto del committente, solo previa sua autorizzazione scritta, che può essere specifica, (i.e. riferita a un determinato sub-responsabile, per una determinata attività di trattamento e in un momento specifico) ovvero generale.

Possibili ripercussioni della mancata stipula del contratto (D.P.A.)

L’obbligo di stipulare un contratto di trattamento (D.P.A.) con il committente/titolare deve essere tenuto sempre ben presente da ogni fornitore/appaltatore

Avviare un trattamento di dati personali, senza aver prima disciplinato il rapporto con il titolare con un atto giuridico che abbia i requisiti di forma e di contenuto prescritti dall’art. 28 GDPR, può comportare gravi conseguenze per un fornitore/appaltatore. Questo perché il fornitore/appaltatore viene legittimato ad eseguire il trattamento di dati dal contratto che gli attribuisce il ruolo di “responsabile del trattamento” e, proprio attraverso il contratto, beneficia della stessa base giuridica di cui si avvale l’azienda committente/titolare.

Quindi in assenza del contratto (D.P.A.) e delle condizioni di liceità previste dal GDPR, il fornitore e gli eventuali sub-fornitori potrebbero essere chiamati a rispondere della violazione più grave prevista dal sistema di Data Protection: quella relativa al mancato rispetto dei principi di protezione dei dati personali previsti dall’art. 5 GDPR^[4].

Questo è quanto avvenuto in concreto a due importanti “players” nazionali ai quali il Garante ha irrogato pesanti sanzioni pecuniarie^[5]. In tale caso, l’Autorità Garante, pur prendendo favorevolmente atto che il fornitore/appaltatore aveva sollecitato al committente/titolare la formalizzazione della propria designazione quale “responsabile del trattamento”, non ha ritenuto sufficiente, ai fini della valutazione sulla liceità del trattamento da parte del fornitore stesso, la circostanza che il trattamento fosse previsto nel contratto di appalto di servizi.

Va aggiunto che il trattamento di dati personali eseguito per conto del committente/titolare senza la stipula preventiva di un contratto di trattamento (D.P.A.) espone il fornitore/responsabile anche ad una possibile azione risarcitoria da parte di eventuali danneggiati.

Infatti il modello di responsabilità disegnato dall’art. 82 GDPR pone l’obbligazione di risarcimento in capo al fornitore che “non abbia adempiuto gli obblighi del GDPR specificamente diretti ai responsabili del trattamento”.

Gli obblighi derivanti dal contratto

I fornitori/appaltatori designati “responsabili del trattamento”, pur operando sotto la diretta responsabilità e soltanto su istruzione documentata del committente/titolare che li ha nominati, non sono meri esecutori passivi. Essi sono chiamati ad assolvere i seguenti obblighi fissati dal citato paragrafo 3 dell’art. 28 GDPR:

1. garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
2. adottare tutte le misure di sicurezza richieste dal GDPR;
3. ricorrere a sub-responsabili solo su autorizzazione scritta, specifica o generale, del committente/titolare;
4. assistere il committente/titolare nell’adempimento degli obblighi connessi al soddisfacimento delle richieste per l’esercizio dei diritti degli interessati nonché alla gestione di eventuali data breach;
5. cancellare o restituire, su scelta del committente/titolare del trattamento, tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento;
6. mettere a disposizione del committente/titolare tutte le informazioni necessarie per dimostrare il rispetto dei citati obblighi e consentire, contestualmente, anche audits mirati a verificare il rispetto delle clausole contrattuali e la compliance in generale;
7. informare immediatamente il committente/titolare qualora, a loro parere, un’istruzione violi la normativa privacy.

Gli obblighi fissati dal GDPR

Per garantire la tenuta operativa dei sistemi di trattamento di dati personali, il GDPR prevede anche “obblighi specifici” in capo ai “responsabili del trattamento”, distinti da quelli attribuiti ai rispettivi titolari.

In particolare, ogni fornitore/responsabile ha l’obbligo di:

1. designare un rappresentante in Italia, qualora non sia stabilito nell’UE e ricorrano le condizioni indicate nell’art 27 del GDPR;
2. tenere un registro delle attività di trattamento che abbia come contenuto minimo le informazioni prescritte dal paragrafo 2 dell’art. 30 GDPR;
3. istruire ed autorizzare all’esecuzione dei trattamenti le persone che agiscono sotto la sua autorità;
4. designare un DPO nei casi previsti dal primo paragrafo dell’art. 37 GDPR;
5. adottare idonee misure tecniche e organizzative per garantire una sicurezza dei trattamenti adeguata ai rischi per i diritti e le libertà fondamentali;
6. applicare, ove necessario, le norme sul trasferimento internazionale dei dati personali.

Il responsabile del trattamento che violi anche soltanto uno degli obblighi derivati dal contratto di trattamento o stabiliti direttamente dal GDPR o che agisca in modo difforme o contrario rispetto alle legittime istruzioni del committente/titolare del trattamento si espone all’irrogazione di sanzioni pecuniarie nonché a possibili azioni risarcitorie da parte di eventuali danneggiati^[6].

Le facoltà “privacy” di fornitori e produttori

Dare puntuale esecuzione alle regole fissate dal GDPR comporta certamente rilevanti costi e significativi sforzi organizzativi che possono però trovare una più che adeguata compensazione nella possibilità, non solo di evitare pesanti sanzioni pecuniarie e possibili azioni risarcitorie ma anche di realizzare un concreto potenziamento della reputazione aziendale e della competitività sul mercato.

Tale possibilità è chiaramente evidenziata dai Garanti Europei,^[7] i quali suggeriscono che nel trattare i dati per conto dei titolari, o nel fornire agli stessi titolari soluzioni di trattamento (hardware o software), i responsabili e i produttori dovrebbero utilizzare le loro competenze per instaurare un clima di fiducia e orientare i loro clienti, verso soluzioni di progettazione che siano “privacy embedded”, i.e. che incorporino fin dalla progettazione i principi privacy stabiliti nell’art. 5 del GDPR.

Il Considerando 78 del GDPR indica chiaramente questa opportunità/necessità stabilendo che “in fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati”.

In tale contesto, sempre al fine di costruire quel sano clima di fiducia verso cui tende l’intera normativa privacy, gli stessi Garanti Europei raccomandano ai titolari^[8] di richiedere che i produttori e i responsabili del trattamento dimostrino in che modo i loro hardware, software, servizi o sistemi permettano ai titolari stessi di soddisfare l’obbligo di attuare il principio di privacy by design e by default, e.g. utilizzando indicatori chiave di prestazione (KPI) per dimostrare l’efficacia delle misure e delle garanzie nell’attuazione dei principi e dei diritti.

Inoltre bisogna considerare, in aggiunta, che i trattamenti eseguiti dai responsabili per conto dei titolari possono essere certificati. La capacità di ottenere una certificazione per il trattamento rappresenta un ulteriore valore aggiunto per le aziende/titolari chiamate a scegliere tra i diversi software, hardware, servizi e/o sistemi di trattamento forniti dai produttori o dai “responsabili del trattamento”.

La compliance al GDPR assume così una efficace funzione reputazionale.

Incorporare la privacy nei prodotti e nei processi oppure ottenere una certificazione degli stessi processi costituiscono per i fornitori/responsabili una forte leva per consolidare la propria reputazione sul mercato e per conseguire un rilevante vantaggio competitivo nella commercializzazione dei rispettivi prodotti presso i committenti/titolari.

NOTE

1. Vds. Considerando 74 GDPR. ↑

2. Punto 103 delle Linee Guida EDPB 7/2020 versione 2.0. ↑

3. Così al punto 151 delle Linee Guida EDPB 7/2020 versione 2.0. ↑

4. Vds. Art. 83, paragrafo 5 GDPR. ↑

5. Vds. Provv. GPDP n. n. 293 del 22 luglio 2021 [doc. web n. 9698597] e n.294 del 22 luglio 2021 [doc. web n. 9698724]. ↑

6. Vds. Artt. 82 e 83 GDPR. ↑

7. Punto 95 Linee Guida EDPB 4/2019 sull’art. 25 GDPR. ↑

8. Punto 96 Linee Guida EDPB 4/2019 sull’art. 25 GDPR. ↑