Una volta superata la fase di qualificazione dei fornitori e dopo aver scelto il fornitore che presenta garanzie adeguate alla tipologia di attività commissionata, è necessario regolamentare questo rapporto ai fini privacy tramite un apposito accordo.
L’articolo 28, comma 3 del Reg. UE 679/2016 (“GDPR”) recita quanto segue:
“I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. […]”.
Sebbene questo atto venga spesso dimenticato, l’articolo 28 del GDPR che abbiamo appena letto ci insegna l’importanza della regolamentazione del rapporto esistente tra un Titolare e il suo Responsabile nel mondo del trattamento dei dati personali.
Questo tipo di accordo permette di normare alcuni aspetti fondamentali sulle modalità di trattamento applicate dai soggetti coinvolti, come ad esempio: quali tipi di dati possono essere trattati e per quali finalità, quali misure di sicurezza devono tutelare i dati coinvolti, per quanto tempo questi possono essere conservati e così via.
Sebbene siano state formulate delle Clausole Contrattuali Tipo dalla Commissione Europea (citate per la prima volta nella Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati) è fondamentale che il c.d. DPA (Data Protection Agreement) venga stipulato ad hoc, seguendo le specifiche esigenze derivate dalle attività di trattamento che il Responsabile effettua per conto del Titolare.
Le suddette clausole standard possono essere utilizzate in via complementare, per integrare disposizioni che non dovessero essere regolamentate direttamente nell’atto di nomina ex art. 28 GDPR mediante apposita clausola di rinvio, e/o come fac simile iniziale sulla base del quale redigere il proprio accordo.
Se osserviamo questo rapporto giuridico dal lato del Titolare del trattamento, è fondamentale redigere un atto di nomina sufficientemente tutelante e nel quale vengano esposti in maniera dettagliata tutti gli aspetti citati dall’articolo 28 GDPR citato all’inizio di questo articolo.
Se, invece, ci troviamo a rivestire il ruolo di Responsabile del Trattamento (o Sub-Responsabile!) è bene che verifichiamo attentamente il contenuto di tutti gli accordi che ci pervengono, per verificare che non dispongano obblighi eccessivamente gravosi e/o non previsti dalla normativa.
