Il contratto di fornitura con protezione doc dei dati personali

La tutela del dato personale in azienda ha assunto negli ultimi anni, soprattutto con l’entrata in vigore del regolamento (Ue) 2016/679 (Gdpr), un’importanza sempre più cruciale nel rapporto tra azienda-cliente e fornitore/partner commerciale.

Ciò rileva in particolar modo nella stesura del contratto/accordo in materia di protezione dei dati personali che dovrà essere redatto alla luce del contratto per la fornitura di beni e/o servizi da cui trae origine.

Nel contesto aziendale la scelta del fornitore impone al titolare – in ossequio al principio di responsabilizzazione (o accountability) di cui all’articolo 5 del Gdpr - di “mappare” il futuro flusso dei dati personali “generato” dal sinallagma contrattuale; dovrà poi valutare, in funzione del disegno del flusso dei dati, quale dei fornitori possa garantire il miglior livello di misure di sicurezza tecniche e organizzative, atte a tutelare i dati personali interessati dal contratto.

Dopo avere individuato il fornitore, occorre, inoltre, svolgere un’analisi finalizzata a delineare i profili di titolarità in capo alle parti rispetto al trattamento dei dati personali che discendono dal contratto commerciale, dalla quale si potranno configurare tre diversi assetti di responsabilità.

Si potrà avere un rapporto tra titolare (di solito, l’azienda-cliente) e responsabile del trattamento (generalmente, il fornitore), disciplinata espressamente all’articolo 28 del Gdpr, in base al quale il titolare decide mezzi e finalità del trattamento mentre il responsabile si limita a porre in essere le istruzioni ricevute; un’ipotesi di contitolarità di cui all’articolo 26 del Gdpr, nella quale i contitolari, nel contesto di un’attività commerciale condivisa, stabiliscono congiuntamente finalità e mezzi del trattamento sui dati; infine, due o più parti del medesimo vincolo negoziale possono agire quali autonomi titolari del trattamento, quando in piena autonomia determinano le finalità e i mezzi del trattamento sui dati, decidendo e ponendo in atto, sempre in via autonoma, le più adeguate misure tecniche, organizzative e di sicurezza, per garantire un livello di tutela dei dati adeguato al rischio.

Quale che sia l’impostazione prescelta e che meglio si cala nelle dinamiche commerciali tra le parti, la normativa di settore – quantomeno per le ipotesi di cui agli articoli 26 e 28 del Gdpr - impone a titolari e responsabili la sottoscrizione di un contratto o accordo volto a disciplinare i ruoli, i compiti e le rispettive responsabilità circa i trattamenti sui dati personali che trovano la propria fonte nel contratto commerciale. Questo documento, il cui contenuto precettivo è previsto dai suddetti articoli e che deve tenere in massima considerazione le indicazioni fornite nelle «Guidelines 07/2020 on the concepts of controller and processor in the Gdpr» da parte dall’European data protection board, è infatti un vero e proprio contratto - accessorio e collegato al contratto commerciale - avente valore legale e fonte di obbligazioni vincolanti per gli attori coinvolti.

Con tale accordo, con il quale vengono cristallizzati vincoli e obblighi reciproci, le parti svolgono un’opera “sartoriale” che dovrà dar conto delle specifiche attività di trattamento da porre in essere nonché delle modalità con la quale attuarle.

Inoltre, si rammenti che la mancata o inesatta redazione del accordo in materia di protezione dei dati personali ai sensi degli articoli 26 e 28 del Gdpr, può essere oggetto essa stessa di sanzione da parte dell’autorità garante e comunque valutata negativamente in termini di “accountability” del titolare.