Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'
esporta articolo in PDF

Finalmente un aiuto per i poveri titolari!

Finalmente un aiuto per i poveri titolari!
Adalberto Biasiotti
 Adalberto Biasiotti
 Privacy
09/12/2020: La commissione europea ha presentato due documenti, che aiuteranno i titolari a svolgere al meglio la loro impegnativo funzione nell’ambito del trattamento corretto di dati personali.

Salvo casi molto particolari, nella maggioranza dei casi coloro che trattano dati personali, in qualità di titolari, devono fare ricorso al supporto di propri dipendenti, o soggetti terzi, per sviluppare attività di trattamento, che non possono trattare direttamente.

 

Ad esempio, nel caso di un’azienda di medie dimensioni, il titolare del trattamento dovrà designare il responsabile dell’ufficio personale, oppure, come oggi si suole dire, dell’ufficio risorse umane, per affidargli il compito piuttosto impegnativo di acquisire una marea di dati personali dei dipendenti, anche di tipo particolare, come ad esempio quelli afferenti alla salute, e gestirli in modo appropriato. Questo soggetto, che opera sotto indicazione e alle dipendenze del titolare, dovrà a sua volta prendere contatto con altri soggetti terzi, ad esempio commercialisti e specialisti giuslavoristi, per effettuare ulteriori trattamenti afferenti alla gestione corretta dei dati di dipendenti aziendali.

 

In altri casi il titolare, non avendo sufficienti risorse informatiche all’interno dell’azienda, dovrà affidarsi a soggetti terzi, come studi e commercialisti specializzati, cui dovrà consegnare i dati personali dei dipendenti per le opportune elaborazioni amministrative.

 

Pubblicità
Privacy GDPR - Tutela dei dati personali - 3 ore
Corso online di formazione per Persone autorizzate al trattamento dei dati personali - Regolamento Europeo (UE) 2016/679 - Integrazione digitale dei processi aziendali
 

Il regolamento generale europeo non impedisce affatto queste operazioni, ma impone al titolare di stabilire delle regole contrattuali assai vincolanti, in modo che i preziosi dati personali, di cui il titolare è possessore, vengono correttamente utilizzati dal soggetto terzo in questione, che il regolamento chiama “ responsabile del trattamento”.

 

L’elaborazione di un rapporto contrattuale fra il titolare ed il responsabile del trattamento non è cosa da poco: premesso che rimane comunque sempre a carico al titolare la responsabilità finale di un eventuale trattamento illecito di dati personali, la molteplicità delle funzioni e dei rapporti, che vengono delegati, richiede l’elaborazione di un contratto assai approfondito, per il quale spesso i maggiori titolari fanno perfino ricorso a studi legali specializzati, che non regalano certamente la loro consulenza.

 

Questo è motivo per cui tutti i titolari del trattamento, di tutta Europa, hanno visto con grande piacere il fatto che la commissione europea abbia presentato due bozze di clausole contrattuali standard, che stabiliscono una traccia del rapporto fra il titolare e il responsabile del trattamento.

 

La prima bozza fa riferimento alla definizione del rapporto fra il titolare ed il responsabile del trattamento, che si trovino entrambi nell’ambito dell’unione europea, mentre la seconda bozza fa riferimento ad una situazione, che in un mondo globale come il nostro, è sempre più frequente: il responsabile del trattamento si trova in un paese esterno all’unione europea.

Vedremo poi qualche esempio particolare.

Il grande vantaggio della prima bozza di clausole standard contrattuali è quello di armonizzare lo sviluppo di questi contratti in tutti paesi europei, evitando approcci piuttosto differenziati, che finora invece hanno sempre caratterizzato l’elaborazione di questi documenti.

Ricordo ai lettori che questi documenti devono essere elaborati in conformità all’articolo 28, comma 7.

 

Un altro significativo elemento di garanzia, per i titolari ed i responsabili coinvolti, sta nel fatto che l’adozione di clausole contrattuali standardizzate diminuisce in modo significativo la eventuale responsabilità per comportamenti omissivi oppure negligenti da parte di soggetti coinvolti. Colgo l’occasione per ricordare ai lettori che se è vero che la responsabilità finale per comportamenti illeciti e negligenti compete al titolare, che alla fin fine è il padre padrone dei dati personali in questione, possono nascere anche in responsabilità trasferite al responsabile, che non ha correttamente attuato le indicazioni del titolare.

 

La seconda bozza di clausole contrattuali standardizzate si applica quando il titolare si trova all’interno dell’unione europea, mentre il responsabile del trattamento si trova in un paese terzo. Fra i 1000 esempi che mi vengono in mente, penso al caso in cui un titolare del trattamento, con sede in Italia, deleghi ad un responsabile, con sede in Albania, la gestione di un call center, sia di tipo attivo, per la promozione dei propri servizi, sia di tipo passivo, per la gestione di richieste da parte degli utenti.

 

In questo caso la bozza è alquanto più impegnativa, perché i dati personali, oggetto del contratto, vengono trasferiti in un paese terzo, che potrebbe non offrire adeguate garanzie di protezione dei dati stessi.

Ecco la ragione per la quale questa seconda bozza di contratto prende in considerazione tutt’una serie di garanzie di protezione dei dati, che non sono presenti nella prima bozza illustrata, per il semplice fatto che dovrebbero essere già presenti, di default, per il solo fatto che il responsabile in questione si trova all’interno dell’unione europea.

 

Le regole che devono essere rispettate in queste clausole contrattuali standardizzate sono indicate all’articolo 46, comma 2, lettera C del regolamento europeo.

 

Per la verità, già in precedenza erano stati proposte delle bozze contrattuali, per situazioni similari, soprattutto per permettere una movimentazione sicura tra diversi paesi non appartenenti all’unione europea.

Le bozze sono attualmente all’esame del comitato europeo per la protezione dei dati, che raccoglie tutte le autorità Garanti nazionali, i del supervisore europeo per la protezione dei dati, che tiene sotto controllo le attività di trattamento svolte dalle varie agenzie ed entità europee.

Non appena queste due bozze saranno state esaminate, ed eventualmente approvate, verranno pubblicate e messe a disposizione del popolo dei titolari.

 

Nel frattempo, i titolari prestino attenzione l’elaborazione di questi contratti di fornitura di servizi, prevedendo fin da adesso la possibilità di rettificare i contratti in essere, non appena si avranno a disposizione i testi benedetti dalle autorità europee.

 

Nelle more, metto a disposizione dei lettori una traccia del rapporto contrattuale, che già oggi viene utilizzata nell’ambito di designazione responsabili del trattamento da parte di agenzie ed enti europei, nei confronti di soggetti terzi.

 

 

Standard contractual clause on data protection on DG BUDG models (pdf)

 

 

Adalberto Biasiotti




Creative Commons License Questo articolo è pubblicato sotto una Licenza Creative Commons.
Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'

Hai qualcosa da dire su questo articolo? Aggiungi ora il tuo commento


Ad oggi, nessun commento è ancora stato inserito.
Utente (obbligatorio)
Email (se vuoi ricevere l'avviso di altri commenti)
Inserisci il tuo commento (obbligatorio)

Leggi anche altri articoli sullo stesso argomento:


Forum di PuntoSicuro Entra

FORUM

Quesiti? Proponili nel FORUM!