L’importanza del Data Processing Agreement (DPA) – documento previsto dall’art. 28 GDPR – è spesso sottovalutata per evitare sanzioni privacy.
Eppure, il tema dei rapporti tra il titolare del trattamento dei dati personali e i soggetti a cui il medesimo affida lo svolgimento di attività che comportano, per la loro esecuzione, la necessità di compiere operazioni sui dati personali è fondamentale nel settore delle tecnologie.
La configurazione di tali rapporti e il controllo che il titolare deve svolgere sull’operato dei fornitori esterni a cui sono affidate attività di trattamento sono temi di attualità, che vengono valutati in maniera approfondita anche da parte delle Autorità di controllo.
Nel recente provvedimento del Garante per la protezione dei dati personali di sanzione nei confronti di TIM viene evidenziato che “TIM – trascurando il proprio fondamentale ruolo di committente – ha dimostrato di non avere la necessaria consapevolezza in ordine a tale condotta, né di aver adeguatamente vigilato sull’operato del partner”.
Il contratto tra titolare e responsabile nel Gdpr
Com’è noto l’art. 28 del Regolamento (UE) n. 679/2016 (GDPR) prevede che il titolare del trattamento e il responsabile stipulino un contratto (o altro atto giuridico a norma del diritto dell’Unione) con cui venga vincolato il responsabile stesso con una serie di previsioni inerenti vari aspetti dell’attività di trattamento che egli dovrà svolgere su incarico del titolare.
Nella realtà odierna gran parte dei contratti di servizio tra committenti e aziende fornitrici riguardano attività che comportano, in misura maggiore o minore, un trattamento di dati personali di banche dati riferite al titolare del trattamento: si pensi alle prestazioni di servizi di elaborazione delle buste paga dei dipendenti, ai contratti di outsourcing informatico, alle campagne marketing, all’erogazione di servizi SaaS, IaaS o PaaS ed in genere ai servizi cloud, oppure a tutti quei servizi di sviluppo e manutenzione di applicativi che comportano l’accesso a dati del committente.
Il data processing agreement
In tutte queste ipotesi, ma anche in molte altre, è necessario procedere alla stipulazione del Data Processing Agreement (DPA).
Chi in questo periodo di applicazione della nuova normativa europea ha avuto occasione di occuparsi di tale materia avrà notato che i modelli utilizzati differiscono anche in materia sostanziale tra loro, alcuni prevedendo nel dettaglio istruzioni, misure di sicurezza, tipologie di trattamenti e dati trattabili – addirittura con descrizioni analitiche delle misure di sicurezza attuate all’interno della struttura del titolare – altri che, in maniera molto generale, ricalcano il contenuto dell’art. 28 GDPR, non aggiungendo nulla, o molto poco, alle indicazioni normative.
In tale contesto, quindi, non può che essere accolto con favore il tentativo svolto dall’autorità di controllo danese, ai sensi dell’art. 28, ottavo comma, GDPR, di predisporre delle clausole standard che sono state sottoposte alla valutazione dell’European Data Protection Board (EDPB) secondo il meccanismo di coerenza di cui all’art. 63.
Le clausole standard dell’Autorità danese
Preliminarmente all’esame di quanto proposto dal Garante privacy della Danimarca, è opportuno evidenziare che l’EDPB nella sua opinion ha voluto rimarcare la necessità che dette clausole non siano una semplice ripetizione delle previsioni normative, essendo in tal caso inadeguate a costituire delle “clausole standard”.
Il DPA proposto dall’Autorità danese, in seguito alle integrazioni suggerite dall’EDPB, si pone quindi come modello utilizzabile da tutti i titolari del trattamento che affidano a soggetti esterni l’esecuzione di compiti che implicano il trattamento dei dati personali.
Lo standard è costituito da un documento contrattuale con quattro allegati. Nella parte contrattuale vi sono una serie di clausole volte a disciplinare nel dettaglio le previsioni di cui all’art. 28 GDPR, ed in particolare la suddivisione tra gli obblighi del titolare del trattamento e quelli del responsabile. Le quattro appendici sono destinate a fornire informazioni più dettagliate circa il trattamento (Appendice A che contiene la descrizione dei dati oggetto dello stesso, delle finalità, della natura del trattamento, delle categorie di interessati e della durata), la lista dei sub-responsabili, ossia dei soggetti a cui il responsabile, previa autorizzazione generale o puntuale del titolare, può a sua volta affidare parte dei trattamenti da svolgere (Appendice B), le istruzioni relative all’utilizzo dei dati personali (Appendice C su cui torneremo in seguito) e altre eventuali pattuizioni tra le parti (Appendice D).
Sono varie le previsioni contenute nelle clausole standard che possono essere adottate come modello. Innanzitutto, con riferimento al personale del responsabile, l’art. 4 specifica che questo dovrà essere istruito appositamente per iscritto (anche attraverso l’inserimento di dette istruzioni nelle appendici) e vincolato alla riservatezza circa le attività da svolgere.
Deve poi essere resa disponibile una lista delle persone autorizzate al trattamento, lista che, a parere di chi scrive, potrebbe anche derivare dai livelli di autorizzazione consentiti ai sistemi informatici su cui risiedono i dati del titolare.
Particolarmente interessante è la disciplina dei compiti relativi alla sicurezza informatica (ed anche in tal caso è previsto che le misure vengano dettagliate nell’Appendice C). In particolare, è previsto che il responsabile del trattamento, indipendentemente dal titolare, debba effettuare una valutazione dei rischi sui diritti e le libertà degli interessi derivanti dal trattamento implementando le misure necessarie a mitigare tali rischi, con obbligo del titolare di fornire tutte le informazioni necessarie allo svolgimento di tale valutazione. Inoltre, il responsabile deve fornire al titolare tutte le informazioni utili a poter attuare le previsioni in materia di sicurezza di cui all’art. 32 GDPR. Nell’ambito della valutazione del titolare qualora emerga la necessità che il responsabile adotti ulteriori misure di sicurezza rispetto a quelle in essere, elencate in Appendice C, il titolare dovrà specificare tali ulteriori misure nel medesimo allegato, così da renderle esplicite al responsabile.
L’Autorità danese ha anche previsto l’eventualità dell’insorgere di problematiche che rendano non più operativo il responsabile del trattamento. In un’apposita clausola standard (art. 7, 6° comma) è previsto che il responsabile, nei contratti con i sub-responsabili, deve prevedere che in caso di impossibilità di proseguire l’esecuzione delle prestazioni da parte del responsabile (come ad es. in ipotesi di fallimento dello stesso), il titolare del trattamento dovrà essere inquadrato come terza parte beneficiaria del contratto, con facoltà di richiedere direttamente ai sub-responsabili l’esecuzione del contratto stipulato con il responsabile o di richiedere la cancellazione o restituzione dei dati personali trattati.
Infine, vengono disciplinate anche le varie ipotesi standard, quali la comunicazione dal responsabile al titolare in caso di data breach, la conservazione dei dati, le procedure per lo svolgimento degli audit e delle ispezioni da parte del responsabile del trattamento. Il regime di responsabilità viene lasciato alla libera negoziazione delle parti, che potranno regolarlo a loro piacimento fatta salva la necessità che non dovrà contraddire direttamente o indirettamente le clausole standard o pregiudicare i diritti fondamentali e le libertà degli interessati.
Le responsabilità (sottovalutate) insite nel data processing agreement (DPA)
Lo sforzo compiuto dall’Autorità danese di predisporre delle clausole standard per la regolazione dei rapporti tra responsabile e titolare del trattamento è sicuramente da valutare positivamente. L’accordo sottoposto all’EDPB rende di centrale importanza l’Appendice C, il cui contenuto può essere molto ampio stante la necessità di indicare all’interno della medesima appendice le istruzioni per il trattamento, le misure di sicurezza, i luoghi di trattamento e conservazione, le istruzioni per il trasferimento dei dati personali in Paesi terzi e le procedure per lo svolgimento degli audit e delle verifiche da parte del titolare.
È interessante notare che, oltre alle misure di sicurezza espressamente previste dall’art. 32 GDPR, l’appendice proposta dal Garante danese prevede anche l’indicazione dei requisiti per l’accesso online ai dati, le misure di protezione durante la trasmissione e conservazione degli stessi, le misure in caso di “smart working”, nonché i requisiti dei sistemi di logging.
Tutto ciò rende ancora più pregnante e precettivo il Data Processing Agreement, circostanza avvalorata anche dalla clausola standard di cui all’art. 2, 4° comma del modello, secondo cui le previsioni dell’accordo prevalgono su qualsiasi ulteriore previsione stabilità in altri documenti tra le parti.
Ebbene, è proprio su tale punto che ci sembra necessaria una riflessione. Sempre più spesso, infatti, si assiste a DPA che costituiscono allegati di un contratto principale e che sono sottoscritti, forse con troppa leggerezza, dalle aziende fornitrici di servizi nella convinzione trattasi di documenti standard (le solite “prassi burocratiche”).
Ciò di cui non ci si rende conto è che il contenuto di un DPA può comportare l’assunzione di responsabilità anche rilevanti e, in certi casi, la necessità di implementare servizi aggiuntivi con impiego di risorse che, al momento dell’offerta iniziale del servizio, potrebbero non essere state correttamente preventivate.
Si pensi al caso in cui il titolare del trattamento richieda l’adozione di misure di sicurezza specifiche (ad es. l’autenticazione biometrica per l’accesso ai dati). Se i sistemi del responsabile del trattamento non prevedono tale misura egli dovrà implementarla, andando incontro a costi aggiuntivi per poter erogare i servizi a quel titolare, pena il mancato rispetto delle previsioni del DPA.
Altro importante aspetto riguarda il regime della responsabilità. Si assiste nella prassi, spesso quando il titolare è un soggetto di forte potere economico, all’inserimento, all’interno del DPA, di clausole con cui un responsabile del trattamento si obbliga a manlevare e tenere indenne il titolare da ogni e qualsiasi danno derivante dal trattamento affidato o dal mancato rispetto delle previsioni del DPA.
Una clausola di tal fatta, soprattutto nell’ambito di servizi tecnologici, sconvolge interamente gli equilibri che magari difficilmente si è cercato di raggiungere nella negoziazione del contratto “principale”. Si pensi alla previsione delle penali e degli importi previsti a tale titolo, alle clausole sui livelli di servizio, a quelle relative alla limitazione di responsabilità. E’ sufficiente che l’inadempimento coinvolga il trattamento di dati personali (e nei servizi informatici, lo si ripete, il trattamento coinvolge quasi sempre dati personali) che tutte tali previsioni di salvaguardia e contemperamento degli interessi si dimostrano completamente inutili, data l’ampiezza con cui viene regolata la responsabilità in tali ipotesi.
D’altra parte, ed è questa forse una riflessione da svolgere, quale senso ha prevedere una clausola di manleva in favore del titolare a carico del responsabile quando il titolare è economicamente l’unico soggetto che potrebbe sopportare le conseguenze economiche di un trattamento illecito?
Conclusioni
Ritorniamo, in questa riflessione, al caso del provvedimento nei confronti di TIM. È forse ipotizzabile che uno dei call center coinvolti in quell’attività oggetto di sanzione possa manlevare TIM per la considerevole cifra di circa 28 milioni di euro?
Una risposta positiva a tale domanda ha quale presupposto la valutazione da parte del titolare anche di tale aspetto nel momento in cui decide di affidare ad un responsabile il trattamento di alcuni dati personali.
In verità, anche in considerazione degli obblighi di vigilanza che sono in carico al titolare del trattamento, qualora si verifichino incidenti o trattamenti non leciti e vi siano dei rapporti tra titolare e responsabile in essere, sembrerebbe più adeguato un regime di concorso di colpa, graduato secondo l’incidenza del comportamento di ognuno dei soggetti, che tenga conto anche dei vantaggi effettivi che ciascuno di essi ha tratto dall’attività di trattamento, ciò anche per evitare che, inserendo la clausola di manleva, il titolare si disinteressi delle attività svolte dai propri fornitori.