LINEE GUIDA PER LA CLASSIFICAZIONE DELLE TERZE PARTI E MODELLI CLAUSOLE PRIVACY
LINEE GUIDA PER LA CLASSIFICAZIONE DELLE TERZE PARTI E MODELLI CLAUSOLE PRIVACY
1
INDICE
CONTENUTO
Il Responsabile del trattamento 4
Il Contitolare del trattamento 5
Il Titolare autonomo del trattamento 7
MODELLI CLAUSOLE CONTRATTUALI PRIVACY 8
INTRODUZIONE
Con l’entrata in vigore del Regolamento UE 679/2016 (di seguito anche “GDPR”), il legislatore europeo ha inteso armonizzare le disposizioni in materia di tutela dei diritti e delle libertà fondamentali delle persone fisiche in tutti gli Stati dell’Unione Europea nel settore della protezione dei dati personali.
Il GDPR richiede che siano sempre definiti con chiarezza i ruoli privacy e le responsabilità dei soggetti che, a vario titolo, sono coinvolti nel processo di trattamento dei dati personali con il Titolare del trattamento (Regione Calabria).
Pertanto, lo scopo principale del presente documento è fornire ad ogni dipendente dell’Amministrazione un vademecum per il corretto inquadramento delle Terze Parti nei ruoli Privacy e descrivere le clausole relative al trattamento dei dati personali da inserire, ove possibile, all’interno dei contratti/convenzioni stipulati con Fornitori e consulenti in base al tipo di trattamento di dati effettuato.
La normativa Privacy inquadra e definisce le caratteristiche dei principali soggetti coinvolti nell’attività di trattamento. Ai fini del presente documento, ci focalizzeremo su:
• Titolare del trattamento
• Responsabile del trattamento
• Contitolare
• Titolare autonomo
FIGURE PRIVACY RILEVANTI
Il Titolare è la «persona fisica o giuridica, l’ente, l’autorità pubblica, il servizio o un altro organismo che singolarmente o insieme ad altri determina le finalità e i mezzi del trattamento dei dati personali» (art. 4, par. 7, GDPR).
È, in sostanza, il soggetto che decide in merito al motivo per cui sceglie di realizzare un trattamento (finalità) e alle modalità con le quali attuarlo in vista dell’obiettivo da perseguire (mezzi).
Quanto alla natura soggettiva del Titolare, le persone giuridiche e le pubbliche amministrazioni articolate in direzioni generali o in sedi centrali, decentrate o periferiche (es. servizi, dipartimenti) sono individuate quali «Titolari nel loro complesso» dei trattamenti.
Il Titolare è il principale soggetto attivo del trattamento cui il GDPR attribuisce obblighi molto precisi, finalizzati non soltanto al rispetto formale delle regole e dei principi, ma anche all’adozione di tutti gli accorgimenti tecnici e organizzativi necessari a garantire la conformità effettiva dei trattamenti ed essere in grado di dimostrare che il trattamento è effettuato in conformità al GDPR (responsabilizzazione del Titolare – principio di accountability).
L’introduzione del principio di accountability del Titolare costituisce una delle più rilevanti novità introdotte dal GDPR ed esige dallo stesso l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del GDPR, e un approccio che tenga in maggiore considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati, tenendo conto dei rischi noti o evidenziabili nonché delle misure tecniche e organizzative (anche di sicurezza) ritenute adeguate dai Titolari per mitigare tali rischi (l’art. 5, par. 2, richiede al Titolare il rispetto di tutti i principi in esso indicati al paragrafo 1 e di essere «in grado di comprovarlo»)..
Il Responsabile del trattamento
È «la persona fisica o giuridica, l’ente, l’autorità pubblica, il servizio o altro organismo (in inglese, processor, n.d.r.) che tratta dati per conto del titolare» (art. 4, par. 8, GDPR).
La definizione fornisce i tratti caratterizzanti questa figura:
1) l’essere un soggetto distinto (organizzazione, società, singola persona) rispetto al Titolare:
2) trattare i dati per conto del Titolare.
Quanto al primo elemento, il tenore della disposizione normativa sopra richiamata fa evidente riferimento a un soggetto esterno all’organizzazione del Titolare, da tenere distinto dai responsabili interni, più correttamente definiti quali “designati / autorizzati” ex art. 2-quaterdecies Codice privacy e per i quali Regione Calabria ha predisposto un‘apposita lettera di designazione , laddove è prevista la facoltà del Titolare «nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connesse al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità». Tale facoltà è riconosciuta anche al Responsabile del trattamento dei dati.
Quanto al secondo elemento, il trattamento di dati personali è effettuato per conto, ovvero a beneficio, del Titolare. L’art. 28, par. 1, GDPR recita: «qualora un trattamento debba essere effettuato per conto del Titolare, quest’ultimo ricorre unicamente a Responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo
tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato».
Come chiaramente emerge dalla normativa europea, il Responsabile del trattamento, a differenza del Titolare, non determina mai le finalità del trattamento. Questo costituisce il profilo di sostanziale differenza tra le due figure e consente, altresì, di distinguere il responsabile del trattamento dal contitolare.
Il rapporto in essere tra Titolare e Responsabile del trattamento deve essere disciplinato da un accordo specifico (Data Processing Agreement – DPA) in Regione Calabria noto come “Atto di nomina del Responsabile del trattamento” (scaricabile dal sito internet) dal quale derivano specifici obblighi per il Responsabile.
L’Atto di nomina è considerato un’importante valutazione degli aspetti privacy garantiti dal Fornitore in quanto al suo interno quest’ultimo declina e garantisce una serie di controlli specifici volti a dimostrare che il trattamento dei dati personali eseguito per conto del Titolare è conforme ai requisiti imposti dalla normativa ad oggi in vigore.
È fondamentale ricordare che l’inserimento delle clausole contrattuali Privacy (approfondite nel prossimo capitolo) all’interno del contratto di fornitura, non esclude la sottoscrizione dell’Atto di nomina, considerato un allegato imprescindibile in presenza di un trattamento di dati personali.
Una novità introdotta dal GDPR (art. 28, par. 4 e art. 82, parr. 1 e 3 GDPR) consiste nella possibilità, da parte di un Responsabile, di designare, previa autorizzazione del Titolare, sub-responsabili del trattamento «per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario, quest’ultimo risponde dinanzi al Titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso non gli è in alcun modo imputabile». Regione Calabria contempla tale possibilità mettendo a disposizione del Responsabile del trattamento un modulo, scaricabile dal sito, di "Richiesta autorizzazione nomina Sub-responsabili del trattamento”.
Il Contitolare del trattamento
L’art. 26, par. 1, GDPR disciplina la fattispecie dei Contitolari stabilendo che «allorché due o più Titolari determinano congiuntamente le finalità e i mezzi del trattamento, essi sono Contitolari. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato…».
Dunque, il criterio generale per la sussistenza della contitolarità del trattamento è la partecipazione congiunta di due o più soggetti alla determinazione delle finalità e dei mezzi dello stesso. Più specificamente, la partecipazione congiunta deve comprendere, da un lato, la determinazione delle finalità e, dall’altro la determinazione dei mezzi. Per valutare l’esistenza di Contitolari è necessario esaminare se la determinazione delle finalità e dei mezzi che è prerogativa del Titolare sia appannaggio di più di un solo soggetto. Se ciascuno di questi elementi fosse determinato da tutti i soggetti coinvolti, questi ultimi dovrebbero essere considerati Contitolari.
La circostanza che più soggetti siano coinvolti nello stesso trattamento non significa che essi agiscono necessariamente in qualità di contitolari in quanto è necessaria un’analisi caso per caso di ciascun trattamento e del ruolo preciso svolto da ciascun soggetto in relazione a tale trattamento. Sicuramente lo scambio degli stessi dati o insieme di dati tra due soggetti in assenza di finalità o mezzi di trattamento determinati congiuntamente dovrebbe essere considerato una trasmissione di dati tra titolari distinti. La contitolarità del trattamento può essere esclusa anche nel caso in cui più
soggetti utilizzino una banca dati condivisa o un’infrastruttura comune, qualora ciascuna di esse determini autonomamente le proprie finalità.
Tratti distintivi della Contitolarità:
• Partecipazione congiunta di due o più soggetti alla determinazione delle finalità e dei mezzi del trattamento;
• Tra i due contitolari deve essere stipulato un accordo sotto forma di documento vincolante, ossia di contratto o di atto giuridico vincolante, ai sensi del diritto dell’UE o dello Stato membro cui sono soggetti i titolari del trattamento che rifletta debitamente i ruoli e i rapporti rispettivi;
• La condizione della contitolarità deve essere valutata alla stregua di un’analisi sostanziale e fattuale, che non risulti perciò meramente formale;
• I contitolari del trattamento stabiliscono e concordano in modo trasparente le rispettive responsabilità riguardo:
o l’esercizio dei diritti degli interessati e gli obblighi di informazione;
o la definizione della base giuridica;
o la scelta delle misure di sicurezza tecniche e organizzative;
o l’obbligo di notifica di violazione dei dati;
o le valutazioni d’impatto sulla protezione dei dati;
o il ricorso a responsabili del trattamento;
o i trasferimenti verso paesi terzi;
o i contatti con gli interessati e le autorità di controllo.
• Indipendentemente dai termini dell’accordo, gli interessati hanno facoltà di esercitare i propri diritti nei confronti di e contro ciascuno dei contitolari del trattamento;
• In forza del principio di accountability, i contitolari dovranno documentare i fattori rilevanti e le analisi interne che hanno portato a distribuire in tal modo le responsabilità tra quei contitolari.
Situazioni in cui non sussiste una Contitolarità del trattamento:
• Lo scambio degli stessi dati o insiemi di dati tra due soggetti in assenza di finalità o mezzi di trattamento determinati congiuntamente dovrebbe essere considerato una trasmissione di dati tra titolari del trattamento distinti.
• La contitolarità del trattamento può essere esclusa anche nel caso in cui più soggetti utilizzino una banca dati condivisa o un’infrastruttura comune, qualora ciascuna di esse determini autonomamente le proprie finalità.
• La contitolarità del trattamento può essere esclusa anche nel caso in cui più soggetti utilizzino una banca dati condivisa o un’infrastruttura comune, qualora ciascuna di esse determini autonomamente le proprie finalità.
Il Titolare autonomo del trattamento
Il Titolare autonomo del trattamento è una figura non citata dal GDPR, eppure presente nei fatti. Di solito, si usa questo termine quando, in presenza di un primo Titolare (la cui esistenza è indiscutibile), un soggetto diverso a cui legittimamente sono trasferiti i dati, li processa per finalità distinte rispetto a quelle del titolare, assumendo così a sua volta una funzione distinta di titolare.
In altri termini, il Titolare autonomo può essere soltanto tale, oppure può avere un doppio ruolo, di titolare su alcuni trattamenti e di responsabile su altri. Naturalmente, questo caso è ben diverso da quello (espressamente regolato dal GDPR) nel quale due o più soggetti concorrono a definire una o più finalità comuni, che è il caso della contitolarità appena esaminata.
Per effettuare la distinzione tra i ruoli è sufficiente individuare quali finalità sono perseguite nel trattamento dei dati ed il soggetto che le definisce. Dall’analisi risulterà l’attribuzione del ruolo di Titolare / Contitolare / Titolare autonomo.
Situazioni di Titolarità autonoma:
Vi possono essere situazioni in cui vari soggetti trattano gli stessi dati personali in una catena di operazioni: ciascuno di essi ha una finalità indipendente e impiega mezzi indipendenti relativamente al segmento della catena di rispettiva competenza. In mancanza di una partecipazione congiunta nella determinazione delle finalità e dei mezzi di una stessa operazione di trattamento o dello stesso insieme di operazioni di trattamento, la contitolarità deve essere esclusa e i vari soggetti devono essere considerati come titolari del trattamento autonomi che agiscono in momenti distinti.
Di seguito un esempio pratico: Analisi statistica per un compito di interesse pubblico
Un’autorità pubblica (autorità A) ha il compito, stabilito per legge, di elaborare analisi e statistiche sull’evoluzione del tasso di occupazione nel paese. A tal fine, numerosi altri soggetti pubblici sono tenuti per legge a comunicare dati specifici all’autorità A. In questo caso, fatta salva l’eventuale attribuzione dei ruoli per legge, l’autorità A sarà l’unico titolare del trattamento ai fini dell’analisi e delle statistiche del tasso di occupazione attraverso il sistema, in quanto determina la finalità del trattamento e decide in merito alla modalità di organizzazione dello stesso (es. utilizzo di un’apposita banca dati). Invece, gli altri soggetti pubblici, in quanto titolari delle rispettive attività di trattamento, rimangono “autonomi” gli uni dagli altri e hanno la responsabilità di garantire l’esattezza dei dati da essi precedentemente trattati e successivamente comunicati all’autorità A.
MODELLI CLAUSOLE CONTRATTUALI PRIVACY
Una volta definito il ruolo assunto da tutte le Parti coinvolte nell’attività di trattamento, è fondamentale che la documentazione relativa alla gestione dei rapporti con il Fornitore contenga clausole privacy di dettaglio che disciplinino il trattamento di dati personali.
Le clausole contrattuali privacy hanno lo scopo di agevolare Titolari e Responsabili del trattamento chiamati a formalizzare un accordo volto a stabilire, tra gli altri, gli obblighi di ciascuna Parte a tutela di una corretta attività di trattamento di dati personali.
Il seguente flusso è di ausilio a tutti i dipendenti di Regione Calabria nella scelta della clausola contrattuale più idonea rispetto al caso concreto per classificare correttamente le Terze Parti e disciplinare il rapporto con esse.
Clausola 4: Parte identificata come Titolare autonomo
SÌ
NO
La Parte svolge tale trattamento di dati personali in piena autonomia?
FORNITURA DI BENI E SERVIZI DA PARTE DI TERZI
SÌ
NO
Clausola 1: Parte che, per l’esecuzione del contratto/convenzione, non tratta dati personali
Tra le attività della Parte, è compreso il trattamento di dati personali?
La Parte riceve istruzioni dal Titolare in merito al trattamento dei dati personali che tratta per suo conto
Scegliere l’ipotesi corretta che descrive il rapporto tra la Parte e l’Amministrazione
Clausola 2: Parte identificata come Responsabile
Clausola 3: Parte identificata come Contitolare
La Parte definisce insieme al Titolare, le finalità e le modalità del trattamento dei dati personali
Accordo di Contitolarità
1. NESSUN TRATTAMENTO DI DATI PERSONALI
Atto di nomina del Responsabile del trattamento dei dati personali
La Parte che, per l’esecuzione del contratto, non tratta dati personali nello svolgimento del servizio.
2. RESPONSABILE DEL TRATTAMENTO
La Parte identificata quale Responsabile del trattamento, tratta dati per conto del Titolare.
3. CONTITOLARE
La Parte identificata quale Contitolare, definisce insieme al Titolare i mezzi e finalità di trattamento.
4. TITOLARE AUTONOMO
La Parte identificata quale Titolare Autonomo, definisce autonomamente mezzi e finalità di trattamento.
Nota redazionale: inserire questa clausola in tutti i contratti con fornitori e consulenti
X.1 Il Titolare dichiara e garantisce che i dati personali relativi ai propri dipendenti e collaboratori, comunque raccolti e/o utilizzati nell’esecuzione del presente Contratto/Convenzione saranno trattati in conformità a quanto stabilito dal Regolamento UE n. 2016/679 (di seguito GDPR). In particolare, nell’ambito del presente Contratto/Convenzione i dati personali saranno trattati unicamente per le finalità e in virtù delle basi giuridiche di seguito elencate: la gestione del rapporto intercorrente tra le Parti, tra cui la gestione delle attività preliminari alla conclusione del Contratto/Convenzione e la successiva gestione ed esecuzione dello stesso (in quanto trattamento necessario ai fini dell’esecuzione di un Contratto/Convenzione di cui è parte l’interessato o di misure precontrattuali adottate su richiesta dello stesso), nonché all’adempimento degli obblighi di legge e/o regolamentari ad esso correlati (in quanto trattamento necessario a tal fine) o a cui le Parti sono soggette, o per l’accertamento, l’esercizio o la difesa di un diritto o la tutela dei diritti di terzi in sede stragiudiziale e giudiziale, anche amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti.
Le Parti si impegnano a trattare i dati esclusivamente per il periodo necessario al raggiungimento delle finalità e per i 10 (dieci) anni successivi alla cessazione degli effetti dello stesso.
Le Parti prendono altresì atto dei diritti riconosciuti agli interessati dagli artt. da 15 a 22 del GDPR, tra cui il diritto di chiedere l’aggiornamento, la rettifica, la limitazione o la cancellazione dei dati personali trattati.
Nota redazionale: inserire le successive clausole privacy ove necessario
1. NESSUN TRATTAMENTO DI DATI PERSONALI
La Parte che, per l’esecuzione del Contratto/Convenzione, non tratta dati personali nello svolgimento del servizio.
Art. XX – Tutela dei dati personali
XX.1 Le Parti danno atto che l’esecuzione del Servizio oggetto del presente Contratto/Convenzione non comporta il trattamento dei dati personali di persone fisiche. Tuttavia, qualora per effetto di modifiche successive, ad esempio, alle modalità di svolgimento del Servizio, ovvero per effetto di modifiche normative, l’esecuzione del Servizio da parte di [inserire il nome del fornitore] comportasse il trattamento di dati personali di terzi persone fisiche, le Parti si impegnano a conformarsi al GDPR e a adottare le corrispondenti misure necessarie, in linea con il principio di adeguatezza.
XX.2 Le Parti dichiarano di aver rispettivamente fornito adeguata informativa privacy circa il trattamento dei dati personali dei soggetti che agiscono, o che sono a diverso titolo riconducibili, al presente Contratto/Convenzione (rappresentanti firmatari del presente Contratto/Convenzione, personale dipendente, prestatori d’opera, collaboratori, etc. coinvolti nell’esecuzione del contratto).
2. RESPONSABILE DEL TRATTAMENTO
La Parte identificata quale Responsabile del trattamento, tratta dati per conto del Titolare.
Art. XX – Tutela dei dati personali
XX.1 In relazione al trattamento dei dati personali di persone fisiche a cui [inserire il nome del fornitore] avrà accesso e/o debba comunque trattare ai fini della prestazione del Servizio quale Responsabile del trattamento, per conto del Titolare e su istruzione di quest’ultimo, le Parti si impegnano a conformarsi a quanto previsto all’Allegato [yyy – Atto di nomina del Responsabile del trattamento dei dati personali] del presente Contratto/Convenzione ai sensi dell’art. 28 del GDPR.
XX.2 Le Parti dichiarano di aver rispettivamente fornito adeguata informativa privacy circa il trattamento dei dati personali dei soggetti che agiscono, o che sono a diverso titolo riconducibili, al presente Contratto/Convenzione (rappresentanti firmatari del presente Contratto/Convenzione, personale dipendente, prestatori d’opera, collaboratori, etc. coinvolti nell’esecuzione del Contratto/Convenzione).
3. CONTITOLARE
La Parte identificata quale Contitolare, definisce insieme al Titolare i mezzi e finalità di trattamento.
Art. XX – Tutela dei dati personali
XX.1 In relazione al trattamento dei dati personali di persone fisiche ai fini del presente Contratto/Convenzione, le Parti riconoscono e convengono di agire in qualità di Contitolari del trattamento ai sensi dell'art. 4, n. 7), del GDPR. A tale riguardo si impegnano al rispetto degli obblighi derivanti dalla normativa applicabile in materia di protezione dei dati e a conformarsi a quanto previsto all’Allegato [yyy] del presente Contratto/Convenzione.
XX.2 I diritti e gli obblighi dei Contitolari vengono disciplinati dalle Parti tramite specifico Accordo Data Protection ai sensi dell’art. 26 del GDPR, che si allega al presente Contratto/Convenzione e che costituisce parte integrante dello stesso.
XX.3 Le parti dichiarano di aver rispettivamente fornito adeguata informativa privacy circa il trattamento dei dati personali dei soggetti che agiscono, o che sono a diverso titolo riconducibili, al presente Contratto/Convenzione (rappresentanti firmatari del presente Contratto/Convenzione, personale dipendente, prestatori d’opera, collaboratori, etc. coinvolti nell’esecuzione del contratto/Convenzione).
4. TITOLARE AUTONOMO
La Parte identificata quale Titolare Autonomo, definisce autonomamente mezzi e finalità di trattamento.
Art. XX – Tutela dei dati personali
XX.1 Resta inteso che [inserire il nome del fornitore] rimane autonomo il Titolare del trattamento in relazione al trattamento dei dati personali di persone fisiche i cui dati debbano essere comunicati tra le Parti ai fini dell’esecuzione del presente Contratto/Convenzione. A tale riguardo, le Parti si impegnano, ciascuna per quanto di propria competenza in relazione ai diversi trattamenti di dati e ruoli, a rispettare qualsiasi requisito di legge e regolamento applicabile al trattamento dei dati
personali da esse effettuato. Fatto salvo quanto previsto dall’art. 82 del GDPR, [inserire il nome del fornitore] si impegna a risarcire l’Amministrazione per qualsiasi danno, perdita, contestazione, responsabilità, spese sostenute nonché dei costi subiti (anche in termini di danno reputazionale) derivanti dal proprio inadempimento colposo o doloso del presente articolo, compreso qualsiasi inadempimento commesso dal proprio rappresentante legale, sub-contraenti, dipendenti o agenti, e a tenere indenne l’Amministrazione da qualsiasi pretesa fatta valere da terzi a causa di o in relazione a una delle violazioni sopra indicate.
XX.2 Le Parti si impegnano a comunicarsi prontamente e reciprocamente le eventuali istanze per l’esercizio dei diritti degli interessati previsti dall’articolo 12 e ss. del GDPR ovvero le richieste delle Autorità di Controllo che riguardino ambiti di trattamento di competenza dell’altra parte.
XX.3 Le Parti dichiarano di aver rispettivamente fornito adeguata informativa privacy circa il trattamento dei dati personali dei soggetti che agiscono, o che sono a diverso titolo riconducibili, al presente Contratto/Convenzione (rappresentanti firmatari del presente Contratto/Convenzione, personale dipendente, prestatori d’opera, collaboratori, etc. coinvolti nell’esecuzione del Contratto/Convenzione).