L'APPROFONDIMENTO

Rapporto tra titolare e responsabile del trattamento, lo standard contrattuale tipo: i dettagli

L’EDPB ha pubblicato lo standard contrattuale tipo tra titolare e responsabile del trattamento adottato dall’Autorità per la protezione dei dati danese, con l’intento di aiutare le organizzazioni a soddisfare i requisiti richiesti dall’art. 28 del GDPR. Ecco tutti i dettagli

09 Gen 2020
N
Serena Nanni

Privacy Support


L’Autorità per la protezione dei dati danese ha presentato al Comitato europeo per la protezione dei dati (in seguito anche “EDPB”) una bozza di standard contrattuale tipo tra titolare e responsabile del trattamento, ai sensi dell’art. 28 del Regolamento (UE) 679/2016 (in seguito, “GDPR”), richiedendo un parere del Comitato – ai sensi dell’art. 64, p. 1,lett. d), per un approccio coerente a livello dell’Unione europea nel rapporto tra titolare e responsabile del trattamento.

Rapporto tra titolare e responsabile del trattamento: il parere dell’EDPB

La decisione in merito alla completezza della bozza è stata presa il 9 luglio 2019, con il parere n. 14/2019 del Comitato europeo per la protezione dei dati.

Si specifica che, nel contesto del rapporto tra un titolare e un responsabile del trattamento, il GDPR stabilisce, nel suo articolo 28, un insieme di disposizioni relative alla redazione di un contratto specifico tra le parti interessate e disposizioni obbligatorie che dovrebbero essere incorporate in esso.

Di fatti, ai sensi dell’articolo 28, paragrafo 3, del GDPR, il trattamento di dati da parte di un responsabile del trattamento dei dati è regolato da un contratto o altro atto giuridico ai sensi del diritto dell’Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare, che resta colui che definisce un insieme di aspetti specifici del rapporto contrattuale in essere.

A seguito del parere n.14/2019, l’EDPB ha pubblicato nel registro delle decisioni prese dalle autorità europee, lo standard contrattuale tipo tra titolare e responsabile del trattamento adottato dall’Autorità per la protezione dei dati danese.

Esso mira ad aiutare le organizzazioni a soddisfare i requisiti dell’art. 28 (3) e (4) del Regolamento (UE) 679/2016, dato che un tale contratto non dovrebbe limitarsi a riportare le prescrizioni del GDPR, bensì precisarle ulteriormente, ad esempio per quanto riguarda l’assistenza fornita dal responsabile al titolare.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Proprio a tale scopo, lo standard contrattuale in esame prevede quattro appendici:

  1. L’Appendice A contiene dettagli sul trattamento dei dati personali, includendo le finalità e la natura del trattamento, la tipologia di dati, le categorie di soggetti interessati e la durata del trattamento;
  2. L’Appendice B contiene le condizioni del titolare del trattamento per il trattamento dei dati da parte del responsabile del trattamento, di sub-responsabili e un elenco di sub-responsabili autorizzati dal titolare del trattamento;
  3. L’Appendice C contiene le istruzioni del titolare del trattamento in merito al trattamento dei dati personali, e le misure di sicurezza che il responsabile del trattamento deve adottare;
  4. L’Appendice D contiene disposizioni per altre attività che non sono coperte dallo standard contrattuale.

Il perimetro d’azione del responsabile del trattamento

Da un’attenta analisi dello standard contrattuale emerge come lo stesso ripercorre quelli che sono gli elementi essenziali che il contratto o altro atto giuridico di nomina a responsabile del trattamento deve avere, ai sensi dell’art. 28 del GDPR.

La prima parte dell’atto giuridico deve stabilire il perimetro di azione in cui andrà ad operare il responsabile del trattamento.

A seguire, in particolare, dovranno essere indicati:

  1. i diritti e gli obblighi del titolare del trattamento;
  2. gli obblighi del responsabile del trattamento;
  3. la garanzia che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  4. l’obbligo di adottare le misure di sicurezza richieste dall’art. 32 del GDPR;
  5. l’uso di sub- responsabili;
  6. eventuale trasferimento dei dati verso paesi terzi o organizzazioni internazionali;
  7. l’obbligo di assistere il titolare del trattamento nell’adempimento delle richieste, presentate dall’interessato, per l’esercizio dei diritti previsti dal Capo III del Regolamento;
  8. l’obbligo di informare il titolare del trattamento, senza ingiustificato ritardo, di una violazione di dati personali dopo esserne venuto a conoscenza;
  9. la possibilità di svolgere audit o ispezioni da parte del titolare per verificare se il responsabile del trattamento sia compliance al GDPR.

Attualmente, il testo dello standard contrattuale è disponibile e scaricabile gratuitamente, in lingua inglese, sul sito web dell’EDPB.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4