Ai fornitori dello studio contratti su misura per il trattamento dati

Anche per lo studio professionale vige l’obbligo di individuare, ai fini privacy, i responsabili del trattamento dei dati.

Il responsabile del trattamento per uno studio professionale è il soggetto (persona fisica o giuridica) che presta un servizio e nel suo svolgimento accede o, in qualsiasi modo, tratta dati personali di cui lo studio è titolare. Il responsabile quindi tratta dati personali per conto dello studio.

Servizi quali gestione, manutenzione, supporto di sistemi e dispositivi It in genere comportano il trattamento dei dati dei relativi utenti, così come servizi di elaborazione di buste paga, di mailing e di organizzazione eventi.

L’ampia definizione di trattamento dati del Gdpr comprende anche trattamenti limitati quali consultazione, conservazione e cancellazione di dati, per cui anche la semplice lettura di un documento cartaceo (avvenuta magari anche per caso) equivale a trattare i dati in esso contenuti.

Per individuare quali tra i propri fornitori si qualificano come responsabili, il professionista deve dunque considerare anche trattamenti limitati e occasionali.

Al contrario, se il prestatore di servizi agisce con autonomia decisionale e organizzativa, non in base alle istruzioni ricevute, si qualifica come titolare del trattamento. In questo caso, il titolare dello studio deve avere in piedi accordi che definiscano rispettive responsabilità e prerogative, ma il terzo resta principale destinatario degli obblighi privacy del Gdpr.

Devono essere selezionati solo fornitori di servizi che garantiscano il rispetto del regolamento e la tutela dei diritti privacy delle persone. Prima di affidare un servizio che comporta trattamento di dati a terzi, quindi, il professionista deve valutare l’adeguatezza del terzo fornitore secondo criteri e procedure di selezione che siano documentati a fini di accountability, cioè come prova dell’attività di selezione che è stata svolta. Ad esempio, un elemento utile per dimostrare l’adeguatezza del responsabile può essere la sua adesione a codici di condotta o certificazioni approvati dalla Commissione o dal Garante privacy.

Una volta selezionato il fornitore di servizi adeguato, il professionista deve disciplinare il rapporto con un contratto scritto indicando le caratteristiche del trattamento esternalizzato (ad esempio il tipo di dati personali coinvolti, la durata, obblighi e diritti del professionista).

Il contratto deve anche indicare gli obblighi del responsabile: ad esempio agire solo secondo le istruzioni del professionista, adottare adeguate misure di sicurezza, collaborare con il professionista per consentirgli il rispetto del Gdpr, rispondere a richieste di interessati, gestire data breach, eccetera.

Attenzione anche alle previsioni che regolano che cosa succede ai dati alla scadenza del contratto (documentata restituzione al professionista o distruzione) e all’intervento di eventuali altri responsabili (subfornitori), che il professionista deve conoscere e autorizzare e a eventuali trasferimenti di dati in Paesi terzi.

La Commissione europea ha emanato delle clausole contrattuali standard per il rapporto titolare/responsabile (decisione di esecuzione Ue 2021/915). Si tratta di un contratto standard che il professionista deve compilare solo ove richiesto (ad esempio descrizione del trattamento, misure di sicurezza, eccetera), lasciando invariato il resto e che fornisce garanzia di completezza del contratto con il responsabile.

Il professionista deve mantenere una lista aggiornata dei responsabili e dei relativi trattamenti e deve fornire agli interessati la possibilità di consultarla agevolmente. Deve inoltre monitorare le attività dei responsabili per assicurare il rispetto delle istruzioni ricevute e del contratto. Il titolare deve inoltre stabilire modalità e periodicità del monitoraggio in base alla tipologia di trattamento esternalizzato: ad esempio per un responsabile che tratta particolari categorie di dati, quali quelli relativi alla salute, il monitoraggio dovrebbe essere semestrale, mentre per trattamenti meno rischiosi può essere annuale.

Se il professionista non disciplina tramite contratto il rapporto con il responsabile o non lo controlla, le sanzioni possono arrivare a dieci milioni di euro (per le imprese, al 2% del fatturato mondiale dell’anno precedente, se superiore). L’orientamento consolidato dei provvedimenti del Garante conferma che si tratta di violazioni rilevanti.

L’impresa di pulizie
Una società che svolge un servizio di pulizia per gli uffici dello studio professionale può essere qualificata come responsabile del trattamento?
Sì, anche la ditta delle pulizie può essere responsabile del trattamento, ma solo nella misura in cui il servizio comporta accesso a locali dello studio in cui sono conservati dati personali che, anche occasionalmente e incidentalmente, possono essere visti (e quindi letti) dal personale addetto alle pulizie.

Chi elabora le buste paga
Il consulente del lavoro che si occupa delle buste paga dei dipendenti dello studio è un responsabile del trattamento?
Sì. Il professionista deve disciplinare il rapporto con un contratto scritto. Il consulente del lavoro ha accesso a particolari categorie di dati (come quelli relativi a salute e appartenenza sindacale), per cui il monitoraggio periodico dovrebbe avere cadenza semestrale.

L’avvocato per una causa
Il consulente legale che rappresenta lo studio in caso di procedimenti giudiziari o che fornisce consulenza specialistica è un responsabile del trattamento?
No, perché il consulente legale si qualifica come titolare diretto e non come responsabile (cioè gestore) del trattamento, dal momento che non si limita a fornire un servizio sulla base delle istruzioni ricevute, ma svolge l’incarico in modo autonomo.

La formazione interna
Una società che fornisce corsi di formazione ai dipendenti dello studio professionale è un responsabile del trattamento?
Dipende dal servizio reso.Se la società si limita a fornire il corso e raccoglie i dati dei dipendenti solo per conto dello studio è un responsabile. Se invece registra i dati dei partecipanti (ad esempio per gli attestati di partecipazione a suo nome) è titolare del trattamento.