Clausole contrattuali tipo da usare per la nomina del Responsabile del trattamento
Per garantire che siano rispettate le norme del Regolamento UE 679/2016 in relazione ai trattamenti che i responsabili debbano eseguire per conto del titolare, il Legislatore Europeo ha previsto, tra l’altro, che l’esecuzione dei compiti del responsabile venga disciplinata da un atto con valenza giuridica, nomina quindi non più meramente facoltativa ma obbligatoria in forza di un contratto o altro atto giuridico vincolante.
Risulta evidente che la tutela dell’interessato passi attraverso la stesura di un puntuale ed attento atto di designazione con valenza giuridica con il quale il titolare stesso vincoli il responsabile.Ecco perché, i titolari del trattamento, sempre più spesso, si interrogano su come poter strutturare tali contratti e, soprattutto, quali clausole poter inserire per essere compiutamente tutelati.
L’articolo 28 del GDPR, paragrafo 6 prevede che – nell’ambito del c.d. meccanismo di coerenza – un’Autorità di controllo possa suggerire un corpo contrattuale standard (il testo inglese che rende la locuzione “clausole contrattuali tipo” è “standard contractual clauses”, da cui l’espressione equivalente “clausole standard”, d’ora in poi anche SCCs) proprio al fine di garantire la tutela dei titolari del trattamento e, quindi, indirettamente degli stessi interessati.
Proprio quanto è poi avvenuto con l’opinione n. 14/2019 dell'European Data Protection Board (disponibile in inglese) in merito alla proposta di clausole contrattuali dell’autorità di controllo danese.
Di seguito un breve excursus.
Le SCCs varate dall’autorità danese suggeriscono di formare un testo contrattuale costituito anche da un indice iniziale (SCCs par. 1) nonché da un preambolo (SCCs par.2), ove tra l’altro indicare espressamente che le clausole contenute nell’accordo hanno la prevalenza rispetto ad altri diversi accordi se inerenti gli stessi temi.
Di particolare interesse è il contenuto delle clausole proposte (SCCs par. 4) relativamente alle istruzioni “documentate” che, come noto, il titolare dovrà impartire al responsabile (cfr. art. 28, par. 3, lett. a). Infatti, le clausole proposte disciplinano anche il caso in cui il Titolare impartisca istruzioni in violazione della normativa (cfr. art. 28 GDPR, par. 3, lett. g). In tal caso il responsabile non dovrà porre in essere tali istruzioni, informando il titolare del trattamento. Nel testo contrattuale, poi, le parti dovrebbero disciplinare tale evenienza, regolando puntualmente i rapporti soprattutto in merito alle possibili conseguenze giuridiche.
Rispetto all’art. 28 del GDPR, par. 3, lett. b), in tema di riservatezza (SCCs par. 5), le SCCs suggeriscono di indicare le persone autorizzate al trattamento in un apposito elenco, soggetto a periodica revisione; disciplinando poi convenzionalmente la facoltà per il titolare di procedere all’audit del responsabile, proprio su questo specifico aspetto.
Per applicare compiutamente le misure di cui all’art. 32 GDPR ("Sicurezza del trattamento"), le clausole contenute al paragrafo 6 delle SCCs prevedono che il titolare fornisca al responsabile tutte le informazioni necessarie per identificare e valutare i rischi connessi al trattamento. Il responsabile deve inoltre assistere il titolare affinché questi sia costantemente in linea con la normativa (c.d. compliance), informandolo delle misure adottate e, se necessario, di come implementarle. Per questo viene suggerito di un appendice contrattuale ove indicare tutte le dovute istruzioni, da aggiornarsi periodicamente anche in considerazione “dello stato dell’arte”, dell’evolversi della tecnologia e l’ontologica dinamicità del rischio connesso al trattamento.
Relativamente ai sub responsabili (SCCs par. 7), oltre a poter pattuire di inoltrare più richieste, volta per volta, per ogni singolo sub responsabile designato si potrebbe prevedere un’autorizzazione generale che facoltizzi il responsabile a ricorrere a sub responsabili. Però, in tal caso, l’elenco dei sub responsabili dovrebbe essere incluso anche solo in appendice al contratto e dovrebbe essere costantemente aggiornato.
Inoltre, si dovrebbe convenire in favore del titolare la facoltà di opposizione motivata nel qual caso non ritenga idoneo un sub responsabile, disciplinando iter e tempi per tale procedura.
E' bene poi pattuire che le medesime clausole che vincolano il responsabile debbono essere riproposte a cascata negli atti vincolanti tra responsabile e sub responsabili, indicando altresì che il data processor è responsabile dell’operato dei sub responsabili, manlevando il titolare al riguardo (salvi ovviamente i diritti degli interessati).
Vengono anche suggerite clausole per obbligare il responsabile a riproporre a cascata negli atti vincolanti tra responsabile e sub responsabili le medesime clausole contenute nel contratto siglato tra titolare e responsabile, addirittura prevedendo la possibilità di esibire preventivamente tali atti vincolanti al titolare ai fini della relativa verifica e, conseguentemente, per l’avallo.
Inoltre, si indicano clausole tipo volte alla responsabilizzazione del data processor relativamente all’operato dei sub responsabili, manlevando il titolare al riguardo (salvo ovviamente i diritti degli interessati).
Sul trasferimento di dati verso paesi terzi, viene suggerito (SCCs par.8) di pattuire che la facoltà del responsabile del trattamento al trasferimento dei dati verso paesi terzi solo previa istruzione documentata del titolare, adottando una specifica appendice contrattuale per eventuali clausole e/o autorizzazioni generali relative al trasferimento.
Specifiche clausole poi vengono indicare relativamente all’assistenza che il responsabile deve al titolare del trattamento in caso di esercizio dei diritti da parte dell’interessato ovvero in caso di data breach (SCCs par. 9), disciplinando nel dettaglio le modalità. La stessa cosa dicasi per la notifica di violazione dei dati personali (SCCs par. 10), pattuendo che il responsabile debba comunicare al titolare l’avvenuta violazione dei dati entro un numero di ore predeterminato e da indicarsi nell’atto giuridico vincolante, riservando uno specifico appendice contrattuale per definire pattiziamente tutte le informazioni che il responsabile dovrebbe comunicare.
L’atto di designazione, poi, non può prescindere da specifiche pattuizioni sulla cancellazione o la restituzione dei dati (SCCs par.11) al termine del rapporto contrattuale, indicando se i dati vadano eliminati, in tal caso imponendo al responsabile in tal caso di certificare di averlo fatto o se, invece, vadano restituiti eliminando le copie esistenti, salvo l’obbligo normativo di conservare tali dati.
Vanno poi ovviamente disciplinate le modalità di audit e di ispezione (SCCs par.12), dedicando poi apposite clausole per eventuali accordi specifici su altri aspetti (SCCs par.13), sul termine di efficacia del contratto (SCCs par.14), nonché sull’elezione uno specifico domicilio digitale e sulle indicazioni dei contatti per la corrispondenza da scambiarsi in corso di esecuzione del contratto (SCCs par.15).
Senza dubbio l’iniziativa dell’autorità di controllo danese faciliterà tutti gli operatori nel redigere atti giuridici vincolanti che siano rispondenti ai requisiti indicati nel GDPR. D’altro canto, così come raccomandato dallo stesso Comitato Europeo, l’adozione di clausole contrattuali standard non consente certo la sottoscrizione di atti vincolanti “ciclostilati”, totalmente avulsi dal contesto, aspecifici e disancorati dal rischio previsto e prevedibile connesso al trattamento stesso. Al contrario gli atti vincolanti vanno implementati con clausole e/o garanzie specifiche, armoniosamente combinate al restante testo contrattuale e non pregiudicanti le libertà fondamentali degli interessati.
