Il 4 giugno scorso la Commissione Europea, con Decisione di Esecuzione (UE) 2021/915, ha introdotto un modello di Clausole Contrattuali Tipo da utilizzare nei rapporti tra titolari del trattamento e responsabili del trattamento – individuate anche dall’acronimo “SCC” derivante da “Standard Contractual Clauses” – ai sensi di quanto previsto all’art. 28 del GDPR. Questa novità è particolarmente rilevante nell’ambito dell’IoT sia alla luce dei servizi spesso prestati in cloud, sia proprio con riferimento alla manutenzione dei servizi stessi da parte di chi ha sviluppato la soluzione.
Alla luce di questa importante novità, nei rapporti contrattuali – soprattutto di nuova sottoscrizione – diventa fondamentale definire gli step funzionali alla corretta disciplina della protezione dei dati personali in particolare dei dipendenti e dei clienti trattati incidentalmente con soluzioni IoT, al fine di ripartire in maniera corretta adempimenti e responsabilità derivanti dalla normativa applicabile in materia. Laddove, dunque, venga stipulato un nuovo contratto, il primo elemento da valutare dal punto di vista del trattamento dei dati personali è quello della corretta individuazione dei ruoli privacy, definendo in quale veste le parti contrattuali prendano parte all’accordo.
Il titolare del trattamento, nel momento in cui affidi un’attività di trattamento per suo conto alla controparte contrattuale – che agirà quindi come responsabile – dovrà effettuare una valutazione di adeguatezza dal punto di vista privacy su quest’ultima (art. 28, paragrafo 1 GDPR), esaminando le misure tecniche ed organizzative a presidio del trattamento. In questa fase, dovranno essere raccolte informazioni essenziali relative al trattamento, quali, a titolo esemplificativo:
- eventuale coinvolgimento di soggetti terzi in qualità di sub-responsabili del trattamento;
- eventuale trasferimento di dati personali al di fuori dello Spazio Economico Europeo;
- modalità di portabilità/migrazione dei dati personali (questi ultimi due aspetti da verificare in modo specifico rispetto ai servizi di esternalizzazione dei dati);
- eventuali certificazioni e/o polizze assicurative in tema di data protection messe a disposizione dal responsabile;
- applicazione delle misure organizzative minime richieste dalla normativa (ad es. autorizzazione dei soggetti deputati al trattamento dei dati, applicazione, ove necessario, dei provvedimenti in materia di amministrazione del sistema, ecc.);
- applicazione delle misure minime previste dal titolare rispetto al trattamento affidato.
Il livello di approfondimento della valutazione del fornitore/responsabile del trattamento varierà in considerazione dell’oggetto del contratto in questione, con particolare riferimento alle categorie di dati personali/interessati oggetto di trattamento.
Esperita positivamente la fase di valutazione, nell’ambito dell’accordo tra titolare e responsabile dovrà essere definita la disciplina del trattamento svolto dal secondo per conto del primo. Le Clausole Contrattuali Tipo offrono uno strumento utile a normare tale rapporto; in ogni caso, in fase di negoziazione, dovranno essere attentamente valutati alcuni importanti aspetti previsti dalle predette Clausole. Le Clausole sono, di base, invariabili (Clausola 2); le Parti, infatti, si impegnano a intervenire solamente per integrare gli allegati delle stesse. Inoltre, laddove le Clausole Contrattuali Tipo siano inserite in un contesto contrattuale più ampio tra titolare e responsabile, dovrà essere verificata la congruità e coerenza tra queste ed il resto delle previsioni; eventuali contraddizioni tra altre previsioni contrattuali e le Clausole Contrattuali Tipo vedranno la prevalenza delle seconde (Clausola 4).
Un soggetto terzo al momento della sottoscrizione delle Clausole può successivamente aderire alle stesse, in qualità di titolare o responsabile (Clausola 5). In base alla Clausola 7.6, le attività di audit e verifica possono essere svolte direttamente dal titolare o per il tramite di un soggetto indipendente anche senza preavviso. Inoltre, si prevede che gli esiti delle attività di verifica e ispezione possano essere oggetto di richiesta da parte dell’Autorità in sede di controllo; In base alla Clausola 10, il titolare del trattamento potrà risolvere il contratto basato sulle Clausole Contrattuali Tipo nelle seguenti ipotesi:
- qualora il trattamento dei dati personali da parte del responsabile del trattamento sia stato sospeso dal titolare del trattamento per violazione delle Clausole Contrattuali Tipo sottoscritte col titolare, e il loro rispetto non sia ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;
- qualora il responsabile del trattamento abbia violato in modo sostanziale o persistente le Clausole Contrattuali Tipo sottoscritte col titolare o gli obblighi che gli incombono a norma del GDPR;
- qualora il responsabile del trattamento non rispetti una decisione vincolante di un organo giurisdizionale competente o della/delle autorità di controllo competenti per quanto riguarda i suoi obblighi in conformità delle Clausole Contrattuali Tipo sottoscritte col titolare o del GDPR.
Anche in capo al responsabile è previsto il diritto di risolvere il contratto basato sulle Clausole Contrattuali Tipo, qualora dopo aver informato il titolare del trattamento che le sue istruzioni violano i requisiti giuridici applicabili, il titolare stesso insista sul rispetto delle istruzioni.
In tema di sicurezza del trattamento, viene richiesto al titolare del trattamento di specificare le misure tecniche e organizzative minime (Allegato III) applicabili al trattamento; tali indicazioni dovranno avere un sufficiente livello di dettaglio e non risultare generiche. Dovranno essere indicate, separatamente, anche le misure tecniche ed organizzative applicabili da eventuali sub-responsabili. Particolarmente rilevante diventa, nel nuovo assetto documentale, la corretta compilazione degli allegati alle Clausole Contrattuali Tipo: in essi, infatti, vengono indicate le caratteristiche essenziali del trattamento svolto dal responsabile.
La Commissione ha dunque messo a disposizione uno strumento pratico per la formalizzazione dei rapporti titolare-responsabile che dovrebbe aiutare a definire con maggior velocità e trasparenza i rapporti tra le parti dando maggiori garanzie agli interessati.
Articolo pubblicato su IOTtoday
L'articolo Contratti IoT: tra titolare e responsabile nuove clausole contrattuali tipo proviene da Colin.