Rapporti tra Titolare e Responsabile del trattamento dei dati: come definire le clausole contrattuali

Il trattamento di dati delle persone fisiche è un’attività “pericolosa”: questa dichiarazione di principio (con la quale oramai stiamo familiarizzando) va posta alla base e deve guidare la scelta del titolare del trattamento (di seguito: titolare) nel momento in cui decide di affidare ad altri, per suo conto, l’esecuzione di trattamenti che comportano l’elaborazione di dati relativi a persone fisiche. Una dichiarazione il cui fondamento si ritrova nel rinvio esplicito all’art. 2050 del Codice Civile operata dall’articolo 15 del d.lgs 30 giugno 2003 n 196 (Codice Privacy) e pervade tutto il Regolamento europeo 2016/679 (di seguito: GDPR o Regolamento) dove trova espressa previsione nell’art. 82 che conferisce agli interessati un diritto al risarcimento del danno patito a causa di un trattamento non conforme alle prescrizioni imposte a titolari e responsabili del trattamento dati (di seguito: RTD o responsabili).

Una scelta consapevole

Titolare e RTD possono essere esonerati da responsabilità, e quindi dagli obblighi risarcitori, solamente se dimostrano che «l’evento dannoso non gli è in alcun modo imputabile»[1]. Spetta al soggetto interessato provare il rapporto di causa-effetto tra il danno e l’illecito trattamento del titolare/responsabile ma non il dolo o la colpa nella condotta che ha cagionato il danno. Sarà la parte chiamata in causa a dover provare di aver adottato tutte le misure idonee ad evitare il danno. Si configura in tal modo un’ipotesi di responsabilità oggettiva in senso stretto in capo a colui che, con il suo comportamento, ha provocato il danno.

Da questa premessa occorre partire per ben cogliere la portata dell’art. 28 del GDPR, laddove si prevede che qualora il Titolare debba necessariamente (proprio se non ne può fare a meno) ricorrere ad un altro soggetto per le attività di trattamento di dati personali, deve incaricare unicamente soggetti che diano garanzie sufficienti e siano in grado di adottare misure tecniche ed organizzative adeguate a soddisfare i requisiti previsti dal regolamento e a garantire la tutela dei diritti dell’interessato.

Occorre quindi che:

• la scelta del titolare sia consapevole e ragionata;
• il rapporto sia formalizzato, vengano disciplinate le rispettive obbligazioni e determinate le istruzioni necessarie allo specifico trattamento;
• il rapporto si mantenga, per tutta la durata del contratto, sui medesimi livelli di sicurezza e con le medesime misure e garanzia per la tutela dei diritti degli interessati;
• siano sempre stabilite le condizioni che portano alla interruzione e che seguono alla cessazione del rapporto.

Tali elementi, ovviamente, vanno declinati in requisiti oggettivi e concretamente misurabili, non è sufficiente indicare misure generiche, soprattutto quando il titolare è un soggetto pubblico e come tale ancor più vincolato a specifiche disposizioni normative in materia di approvvigionamento di beni e servizi. Nelle procedure pubbliche di gara, infatti, la fase di formalizzazione del contratto riflette i contenuti e i risultati delle prime fasi (indizione del bando, selezione…): nel contratto che si va a stipulare deve essere ricompreso solo ciò che è già previsto negli “atti di gara”. Ne consegue che, già nelle prime fasi dell’approvvigionamento, il titolare deve tenere in debito conto e dare atto delle modalità e impegni previsti per assicurare la conformità, in particolare, alle previsioni dei paragrafi 3 e 4 dell’art. 28 del GDPR e pertanto rendere note in tutta trasparenza, quelle che saranno necessariamente le future condizioni contrattuali, a chiunque intenda partecipare alla procedura di gara.

Un primo percorso strutturato per la scelta del RTD lo troviamo delineato nelle “Linee Guida 07/2020 sul ruolo e sui rapporti tra titolare e RTD nel GDPR” [2] adottate dal Comitato Europeo per la Protezione dei Dati Personali (di seguito: EDPB) il 2 settembre 2020 che fissa alcuni principi di cui occorre tener conto nella scelta del RTD:

• l’esperienza precedente nel trattamento dei dati che il titolare intende affidargli;
• l’affidabilità del soggetto correlata ai comportamenti assunti in precedenti trattamenti analoghi;
• la solidità del soggetto in termini di risorse di cui dispone per il trattamento.

L’attenzione del Garante per la Protezione dei Dati Personali

I rapporti tra titolare del trattamento e RTD sono uno degli elementi di attenzione da parte del Garante. Lo dimostrano i provvedimenti sanzionatori adottati anche nei confronti di soggetti pubblici[3] che, nella loro qualità di titolari del trattamento, non scelgono adeguatamente il responsabile o, addirittura, non sono, a volte, nemmeno consapevoli del ruolo che il proprio fornitore andrà ad assumere[4].

La Commissione europea e le clausole contrattuali tipo

Ma ora la Commissione ha fatto un ulteriore passo di ausilio ai titolari e mettendo loro a disposizione utili strumenti di applicativi nel cammino avviato con il GDPR: come prevede lo stesso paragrafo 7 dell’art. 28 del GDPR, con la decisione di Esecuzione 2021/915 del 4 giugno 2021, è intervenuta per definire clausole contrattuali tipo[5] (Standard Contractual Clauses – SCCs) che forniscano la traccia su cui basare gli accordi tra titolare e RTD. Le clausole sono state adottate previa consultazione e tenuto conto del parere congiunto espresso dal Garante Europeo per la Protezione dei dati (European Data Protection Supervisor – “EDPS”) e dall’EDPB.

Occorre ribadire che non si tratta di un formato pre-definito, le clausole-tipo vanno adattate e modellate alla fattispecie concreta, alla situazione specifica, come tutto il suo comportamento durante il trattamento di dati personali: garantire ed essere in grado di dimostrare la conformità al Regolamento “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche” (cfr. art. 24 GDR). Devono diventare un “abito sartoriale”, costruito su misura. 

Alle clausole si aggiungono quattro allegati con l’obiettivo di coprire tutti gli obblighi previsti dall’art. 28; il titolare dovrà trovare il modo di inserirle, opportunamente personalizzate e integrate, nel contratto che andrà a stipulare con il RTD. Esigenza più forte nel contesto pubblico laddove per motivi di trasparenza ma anche nel rispetto dei princìpi di correttezza e buona fede, occorrerà anche rendere noto ai candidati, sin dall’avvio della procedura di gara, i contenuti delle clausole che verranno inserite al momento di stipulare il contratto. Non solo sarebbe utile che le stesse costituissero uno degli allegati dello stesso bando di gara ma potrebbero supportare il Titolare nella scelta del fornitore. Infatti al fine di facilitare la definizione di requisiti misurabili per la scelta del contraente, sarà utile integrare, nella griglia di valutazione ordinariamente utilizzata nelle procedure basate sull’offerta economicamente più vantaggiosa, gli elementi riportati nell’Allegato 2 che presenta una sorta di check‑list che lo guida nell’individuazione delle possibili misure tecniche e organizzative, per garantire la sicurezza dei dati (cfr. art.32 GDPR).

Le clausole-tipo delineano gli aspetti di cui occorre tener conto nella stesura dei documenti:

• Clausola n. 1 – Definisce lo scopo delle Clausole stesse e precisa che con la sottoscrizione delle clausole non si esauriscono (se ce ne fosse bisogno) gli obblighi del Titolare che non può disinteressarsi del trattamento effettuato per suo conto dal responsabile per il solo fatto di aver sottoscritto le SCCs;
• Clausola n. 2 – Ogni modifica, sempre possibile, può essere solo migliorativa: è dunque possibile integrare le previsioni e introdurre garanzie supplementari che comunque non devono porsi in contrasto con quanto previsto dalle SCCs;
• Clausola n. 3 – L’interpretazione delle clausole deve essere effettuata alla luce del GDPR e, quindi, anche dei documenti che, nel tempo, saranno prodotti dall’EDPB o dall’autorità di controllo nazionale;
• Clausola n. 4 – Dispone che le SCCs prevalgono, in caso di contrasto, su qualsiasi altro “patto contrattuale” eventualmente in precedenza stipulato;
• Clausola n. 5 – Sono consentire adesioni successive alle clausole, diritti e obblighi decorrono dalla data di sottoscrizione;
• Clausola n. 6 – Le caratteristiche del trattamento devono essere indicate seguendo quanto richiede l’Allegato II;
• Clausola n. 7 – Riporta le obbligazioni che ricadono sulle parti. In particolare:
  – Istruzioni – devono essere sempre documentate e possono essere anche integrate durante il trattamento. Il Titolare è tenuto ad informare il RTD dell’esistenza di tale obbligo almeno prima dell’avvio del trattamento. Il RTD deve informare immediatamente il titolare qualora ritenga che le istruzioni ricevute violino la normativa, europea e/o nazionale, in materia di protezione dei dati;
  – Limitazione delle finalità – i dati sono trattati per le finalità specifiche del trattamento cui fa riferimento il contratto;
  – Durata – è quella fissata nel contratto per quel trattamento;
  – Sicurezza del trattamento – nell’allegato III sono riportate le misure che il RTD almeno deve adottare per garantire la sicurezza dei dati personali trattati. Le parti devono comunque valutarne l’adeguatezza tenendo debitamente conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi per gli interessati. L’accesso ai dati è consentito al personale del RTD solo nella misura strettamente necessaria per l’attuazione, la gestione e il controllo del contratto. Vige per loro l’obbligo legale di riservatezza;
  – Dati sensibili – devono essere introdotte limitazioni specifiche e/o garanzie supplementari;
  – Documentazione e rispetto – sulla base del principio di accountability le parti devono sempre poter documentare il rispetto delle clausole. Il RTD deve rispondere con immediatezza e adeguatamente alle richieste del titolare, mettere a disposizione tutte le informazioni, consentire e contribuire alle attività di monitoraggio e revisione condotte dal titolare direttamente o tramite revisori indipendenti. Gli esiti di tale attività sono messi a disposizione delle autorità di controllo;
  – Sub-responsabili – vengono chiariti su quali presupposti il RTD può affidare ad altri soggetti il trattamento dei dati: autorizzazione, specifica previa autorizzazione o generale ma soggetta ad opposizione; il RTD deve comunque assicurarsi che il sub-responsabile rispetti gli obblighi previsti dal contratto o dal GDPR; la responsabilità non può in alcun caso essere trasferita: il RTD rimane pienamente responsabile nei confronti del titolare del trattamento dell’adempimento degli obblighi del sub-responsabile del trattamento derivanti dal contratto stipulato con il responsabile del trattamento che deve notificare al titolare del trattamento qualunque inadempimento, da parte del sub-responsabile del trattamento, degli obblighi contrattuali;
  – Trasferimenti internazionali – Responsabile e sub-responsabile devono operare nel rispetto del capo V del GDPR utilizzando le clausole contrattuali tipo adottate dalla Commissione in conformità all’art. 46, paragrafo 2 e assicurare il loro soddisfacimento.
• Clausola n. 8 Assistenza al titolare – Il RTD deve notificare ogni richiesta dei soggetti interessati al trattamento al titolare che di norma risponde direttamente, salvo che non abbia dato diverse istruzioni in tal senso. Il RTD assiste il titolare nell’adempimento dei suoi obblighi (valutazioni d’impatto, consultazioni preventive ove necessarie, garantire rispetto obblighi e l’esattezza dei dati) e congiuntamente stabiliscono le misure tecniche e organizzative adeguate (all. n.3) oltre a definire l’ambito di applicazione e la stessa portata dell’assistenza;
• Clausola n. 9 Notifica di una violazione – Oltre a definire l’obbligo di cooperazione e assistenza al titolare si distingue tra i casi in cui la violazione riguarda dati trattati dal titolare e l’ipotesi di violazione di dati del RTD: in tale caso è previsto l’obbligo di notifica, senza giustificato ritardo dopo esserne venuto a conoscenza. Su tema, anche se la clausola rimane generica, sarebbe opportuno che il titolare, riguardo alla natura del trattamento e alla gravità dei rischi, indicasse termini per gli adempimenti da parte del RTD tenuto conto del suo obbligo di rispettare il termine di 72 ore fissato dall’articolo 33 del GDPR;
• Clausola n. 10 Inosservanza delle clausole e risoluzione – In caso di violazioni da parte del RTD il titolare può dare istruzioni di procedere alla sospensione del trattamento fino a quando quest’ultimo non rispetti le clausole o non sia risolto il contratto. In caso di mancato ripristino del rispetto, al più tardi entro un mese dalla sospensione o di ripetute violazioni o mancato rispetto di decisioni vincolanti, il titolare ha diritto di risolvere il contratto in essere. Lo stesso diritto è in capo al RTD nel caso in cui il titolare confermi determinate istruzioni dallo stesso RTD ritenute non conformi alla normativa in materia. Il contratto deve espressamente regolare le modalità e i termini di cancellazione dei dati trattati al termine del contratto.

Completano le Clausole 3 utili Allegati: 

• Allegato I – Descrizione delle parti
• Allegato II – Descrizione del trattamento
• Allegato III – Misure tecniche ed organizzative – La descrizione delle misure deve essere dettagliata. Si riportano alcuni esempi che utilmente potranno essere integrate e specificate sulla base delle previsioni e descrizioni contenute nelle Linee Guida Enisa[6] che contiene Linee Guida sulla sicurezza nel trattamento dei dati personali finalizzate a fornire elementi di supporto per la valutazione dei rischi per la sicurezza e a indicare conseguenti misure di sicurezza per la protezione dei dati personali oltre a quella fornire esempi concreti e criteri interpretativi;
• Allegato IV – Elenco dei sub-responsabili

 Conclusioni

La stesura delle clausole da inserire nei contratti (e rese note già nei bandi di gara) è una delle attività più delicate che il titolare, nel suo stesso interesse, deve porre in essere. Possono altresì contribuire a determinare oggettivi criteri di valutazione nella scelta del contraente. La Decisione 915 della Commissione è una guida essenziale e fornisce una indicazione utile nella gestione del rapporto tra titolare e RTD e consente anche una corretta e serena interlocuzione con il Garante. Ne consegue che è auspicabile così completare quell’attività di verifica di conformità delle clausole oggi presenti anche nei contratti in essere, al fine di assicurarne la conformità al GDPR. Occorre, infatti, conformare i trattamenti in corso, assicurarsi che almeno tutte le 10 Clausole siano presenti e guidino i rapporti tra titolare e RTD: integrarle, aggiornarle sarà sicuramente possibile ma in nessun modo i contenuti potranno essere in contrasto o i rapporti potranno essere letti o interpretati in un senso che non sia conforme ai diritti e agli obblighi previsti dal GDPR.

[1] Cfr. Cassazione Civile Sez.I, ordinanza 8 gennaio 2019, n.207

[2] European Data Protection Board – EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 1.0, Adopted on 2 September 2020 (versione per consultazione pubblica);

[3] Garante per la protezione dei dati personali, Ordinanza Roma Capitale 11 febbraio 2021;

[4] Garante per la protezione dei dati personali, Ordinanza 14 gennaio 2021 Regione Lazio n. 9;

[5] Decisione di esecuzione (UE) 2021/915 della Commissione del 4 giugno 2021relativa alle clausole contrattuali tipo tra titolari del trattamento e responsabili del trattamento a norma dell’articolo 28, paragrafo 7, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio e dell’articolo 29, paragrafo 7, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio

[6] ENISA Handbook on Security of Personal Data Processing (dicembre 2017)