Il 4 giugno scorso la Commissione Europea, con Decisione di Esecuzione (UE) 2021/915, ha introdotto un modello di Clausole Contrattuali Tipo da utilizzare nei rapporti tra titolari del trattamento e responsabili del trattamento – individuate anche dall’acronimo “SCC” derivante da “Standard Contractual Clauses” – ai sensi di quanto previsto all’art. 28 GDPR. Pertanto, in caso di stipula di un nuovo contratto, uno dei primi elementi su cui effettuare delle valutazioni dal punto di vista del trattamento dei dati personali è quello della corretta individuazione dei ruoli privacy, attività essenziale per definire il perimetro delle responsabilità di ciascuna parte.

Il titolare del trattamento affidando una specifica attività per suo conto alla controparte contrattuale – che agirà quindi come responsabile – dovrà effettuare una valutazione di adeguatezza dal punto di vista privacy su quest’ultima (art. 28, paragrafo 1 GDPR), individuando e precisando nel contratto le misure tecniche ed organizzative a presidio del trattamento. Occorrerà perciò prendere cognizione degli aspetti relativi ad un eventuale coinvolgimento di soggetti terzi in qualità di sub-responsabili del trattamento piuttosto che, laddove previsti, dei trasferimenti di dati personali al di fuori dello Spazio Economico Europeo; altro elemento importante sarà la modalità di portabilità/migrazione dei dati personali (questi ultimi due aspetti da verificare in modo specifico rispetto ai servizi di esternalizzazione dei dati); massima attenzione anche all’applicazione delle misure organizzative minime richieste dalla normativa (ad es. autorizzazione dei soggetti deputati al trattamento dei dati; applicazione, ove necessario, dei provvedimenti in materia di amministrazione del sistema; ecc.); particolare cura, infine, nella verifica delle modalità applicative delle misure minime previste dal titolare rispetto al trattamento affidato.

Il livello di approfondimento della valutazione del fornitore/responsabile del trattamento varierà in considerazione dell’oggetto del contratto in questione, con particolare riferimento alle categorie di dati personali/interessati oggetto di trattamento.

Conclusasi la fase di valutazione, verranno attivate le Clausole Contrattuali Tipo quale strumento utile a normare tale rapporto; in ogni caso, in fase di negoziazione dovranno essere attentamente valutati alcuni importanti aspetti previsti dalle predette Clausole. Esse sono, di base, invariabili (Clausola 2); le Parti, infatti, si impegnano ad intervenire solamente per integrare gli allegati delle stesse. Inoltre, laddove le Clausole Contrattuali Tipo siano inserite in un contesto contrattuale più ampio tra titolare e responsabile, dovrà essere verificata la congruità e coerenza tra queste ed il resto delle previsioni; eventuali contraddizioni tra altre previsioni contrattuali e le Clausole Contrattuali Tipo, vedranno la prevalenza delle seconde (Clausola 4). Merita attenzione la previsione di cui alla Clausola 7.6, secondo la quale le attività di audit e verifica possono essere svolte direttamente dal titolare o per il tramite di un soggetto indipendente anche senza preavviso. Ricordiamo che gli esiti delle attività di verifica e ispezione possono essere oggetto di richiesta da parte dell’Autorità in sede di controllo. Le Clausole Contrattuali Tipo prevedono anche la risoluzione nei seguenti casi:

1) qualora il trattamento dei dati personali da parte del responsabile del trattamento sia stato sospeso dal titolare del trattamento per violazione delle Clausole Contrattuali Tipo sottoscritte col titolare, e il loro rispetto non sia ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;

2) qualora il responsabile del trattamento abbia violato in modo sostanziale o persistente le Clausole Contrattuali Tipo sottoscritte col titolare o gli obblighi che gli incombono a norma del GDPR;

3) qualora il responsabile del trattamento non rispetti una decisione vincolante di un organo giurisdizionale competente o della/delle autorità di controllo competenti per quanto riguarda i suoi obblighi in conformità delle Clausole Contrattuali Tipo sottoscritte col titolare o del GDPR.

In tema di sicurezza del trattamento, viene richiesto al titolare del trattamento di specificare le misure tecniche e organizzative minime (Allegato III) applicabili al trattamento; tali indicazioni dovranno avere un sufficiente livello di dettaglio e non risultare generiche. Dovranno essere indicate, separatamente, anche le misure tecniche e organizzative applicabili da eventuali sub-responsabili. Di particolare rilievo, nel nuovo assetto documentale, è la corretta compilazione degli allegati alle Clausole Contrattuali Tipo: in essi difatti debbono essere indicate le caratteristiche essenziali del trattamento svolto dal responsabile. La Commissione ha pertanto creato uno strumento molto pratico e di riferimento per formalizzare i rapporti tra il Titolare ed il Responsabile consentendo così di poter razionalizzare i contenuti che spesso costituiscono oggetto di trattative defocalizzando gli aspetti primari.