Il valore principale a cui si ispira il GDPR è sicuramente quello della sicurezza nella circolazione dei dati personali. Per la tutela dei diritti dell’interessato, il soggetto cui i dati si riferiscono, è imprescindibile la scelta di un responsabile del trattamento che sia competente. I suoi compiti sono stabiliti dal contratto che stipula con il titolare del trattamento. Pattuire tale accordo può essere particolarmente complicato per il titolare, così la Commissione UE ha redatto la bozza di un atto normativo contenente le “Clausole Contrattuali Standard” (o “SCC”) che entrerà in vigore nelle prossime settimane. Queste clausole semplificheranno la determinazione del rapporto fra responsabile e titolare, salvaguardando i dati degli interessati e realizzando una sicura circolazione degli stessi.
Chi sono titolare e responsabile del trattamento
Preliminarmente, è bene conoscere i soggetti interessati. Per quanto riguarda il titolare, questo è definito dal GDPR come colui che determina le finalità e i mezzi del trattamento (per un’analisi più approfondita si veda Il titolare del trattamento, una panoramica: dalla definizione ai compiti). Il responsabile è, invece, colui che tratta i dati personali per conto del titolare (come sancito dall’art. 4 del GDPR). Il regolamento obbliga il titolare a scegliere un soggetto particolarmente qualificato che assicuri affidabilità e competenza, e sia dotato di tutte le conoscenze specialistiche necessarie per trattare i dati in modo conforme ai princìpi del regolamento stesso. Il responsabile è quindi una figura di grande rilievo nel corso del trattamento. Sebbene la sua presenza sia eventuale, accade spesso, infatti, che il titolare deleghi il trattamento dei dati, o una parte di esso, a tale professionista tramite un contratto scritto.
L’accordo di nomina del responsabile
Il paragrafo 3 dell’art. 28 del GDPR detta il contenuto astratto del contratto. Questo deve prevedere la durata del rapporto, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati cui questi si riferiscono, nonché gli obblighi del titolare e del responsabile. Quest’ultimo è onerato da una serie di compiti finalizzati a realizzare un trattamento sicuro. È necessario che vengano trattati, anche dai suoi sottoposti, i soli dati previsti dal contratto, secondo le modalità concordate con il titolare e nel rispetto dell’obbligo di riservatezza. Egli deve inoltre adottare tutte le misure idonee e adeguate ad assicurare un profilo di rischio compatibile con quello previsto dal GDPR e, qualora risulti necessario, fornire supporto tecnico al titolare.
Problematicità dell’assetto normativo finora esposto
È interesse non solo di titolare e responsabile, ma anche dell’interessato, che il contratto definisca in modo chiaro le mansioni e le responsabilità delle parti. Tuttavia è possibile che il titolare non sia esperto in materia contrattuale, pregiudicando così l’efficacia delle disposizioni del regolamento europeo. Potrebbero insorgere controversie circa la ripartizione delle competenze (chi deve fare cosa) e delle responsabilità. Tutto ciò a scapito della sicurezza del trattamento dei dati personali, che, ricordiamo, è il valore cardine del GDPR.
La soluzione: la previsione di clausole contrattuali standard
La Commissione UE, sulla base delle problematiche rilevate, ha studiato una serie di Clausole Standard (chiamate anche SCC) che possono essere inserire nel contratto, così da semplificarne la stipulazione. Queste rappresenteranno il primo intervento da parte di una istituzione comunitaria nella regolamentazione dei rapporti fra titolare e responsabile, nell’ambito dell’art. 28 GDPR (per completezza, la bozza di riferimento tratta anche le clausole da adottare in caso di trasferimento dei dati verso paesi o organizzazioni fuori dall’Unione Europea, il cui tema si incentra sugli articoli 45 e seguenti del GDPR, ma di cui non si parlerà in questo articolo). La bozza prevede una divisione delle clausole in sezioni: la prima introduce le SCC in generale, la seconda interamente sulle obbligazioni delle parti; la terza sulle disposizioni finali. Alla fine, in appendice alla bozza, vi sono degli allegati, che forniscono al titolare e al responsabile dei moduli pre-compilati che agevolano l’applicazione delle clausole.
Le clausole nel dettaglio:
La prima sezione di SCC ribadisce i princìpi generali del GDPR sul rapporto fra le parti. In particolare, si stabilisce che la scelta di adoperare tali clausole non sia obbligatoria, ma è lasciata alla discrezionalità delle parti, che possono decidere di non avvalersene e fissare liberamente il contenuto e la regolamentazione del contratto. Le parti possono anche apportare modifiche. Infatti, come sancito dalla Clausola 2 della bozza, è possibile integrare il contenuto del contratto inserendo obblighi ulteriori purché coerenti con quelli standardizzati e, ovviamente, rispettosi dei princìpi cardine del regolamento europeo. La clausola 4 dispone poi una gerarchia fra le previsioni contrattuali, stabilendo che, in caso di contrasto fra clausole standardizzate e accordi previsti dalle parti, a prevalere saranno le prime. La seconda sezione è la più corposa ed è divisa in moduli a seconda del rapporto soggettivo (titolare – altro titolare; titolare – responsabile; responsabile – sub-responsabile). Nella sezione dedicata ai rapporti tra titolare e responsabile vi è una ripresa delle disposizioni dell’art 28 GDPR. Le SCC sono qui orientate a stabilire un rapporto trasparente tra le parti che generi un trattamento sicuro. Tra le altre cose, viene ribadito l’obbligo in capo al responsabile di informare il titolare in caso di data breach (violazione dei dati personali) o di mancato rispetto delle istruzioni previste nel contratto. Vengono inoltre previste delle clausole che garantiscano l’onere, sempre per il responsabile, di porre in essere tutte le misure di sicurezza adeguate al fine di ridurre il più possibile i rischi. Vi è poi un modulo riservato al rapporto fra responsabile e sub responsabile, questo può essere istituito solo con l’autorizzazione espressa del titolare. La terza sezione, infine, contiene le clausole relative alle ipotesi di condotta non conforme al contratto, prevedendo quale legge applicare e quale foro scegliere.
Daniele Dhoor Singh