Il modello di nomina del Garante del Baden Wuerttemberg per facilitare gli accordi privacy delle PA

L’Autorità di Controllo tedesca non si è limitata ad inserire gli obblighi richiesti dall’art.28 del GDPR e ha inserito nel proprio modello di nomina ulteriori informazioni al fine di garantire che i trattamenti vengano effettuati in modo lecito e sicuro.

L’Autorità di Controllo danese aveva predisposto un modello di clausole contrattuali standard e lo aveva sottoposto all’analisi del Comitato europeo per la protezione dei dati (EDPB). A seguito delle osservazioni, l’Autorità Danese ha apportato opportune integrazioni e l’ EDPB ha inserito nello specifico indice dei Provvedimenti delle diverse Autorità di Controllo le clausole standard proposte dall’Autorità danese (comunemente indicate come “Nomina del Responsabile del Trattamento”), ai sensi del par. 8 dell’art. 28 del GDPR.

Sperando che anche l’Autorità tedesca segua l’esempio della Danimarca, di seguito un breve confronto tra i due modelli.

L’analisi può essere utile per capire quali elementi integrare negli attuali modelli di nomina utilizzati da Enti e Aziende.

-       Riferimento “Principal agreement”

L’“Opinion 14/2019 on the draft Standard Contractual Clauses submitted by the DK SA (Article 28(8) GDPR)” l’EDPB, nel paragrafo “3.2.2 Data Processing Preamble (Clause 2 of the SCCs”, afferma che “il rapporto tra i dati dell'accordo di trattamento e il "contratto quadro" potrebbero essere più flessibili”. Ci possono essere casi in cui le clausole contrattuali standard sono una parte distinta del documento dell'accordo principale e come tale, non sono necessari atti distinti. Potrebbero inoltre verificarsi situazioni in cui l’atto che regola il trattamento dei dati non faccia parte di un accordo principale. Un caso tipico è quando un Ente sovraordinato (Regione) acquista dei servizi nell’ambito di trattamenti che le norme demandano ad altri Enti (ASL): in questo caso il contratto di fornitura è tra Regione e l’appaltatore, mentre le indicazioni sul trattamento sono descritte a cura dell’ASL (anche se a nostro giudizio si dovrebbe parlare di Contitolarità). Simili scenari possono accadere anche in ambito privato: per esempio la Società IT del gruppo bancario acquista servizi che implicano il trattamento di dati dei correntisti dei singoli istituti bancari del gruppo. In questi casi, comunque, pare opportuno far riferimento al contratto di cui si è beneficiari anche se non materialmente sottoscritto.

-       In entrambi i modelli si conferma che le istruzioni dell’atto prevalgono sulle disposizioni presenti in altri accordi tra le Parti e che la liceità è garantita dal Titolare del Trattamento;

-       Adozione di allegati: il modello danese è più specifico. All’inizio l’Autorità danese aveva proposto all’EDPB una versione “più light”, con alcune parti opzionali” ma l’EDPB ha confermato la necessità di dettagliare le attività di trattamento e le misure di sicurezza. Entrambi i modelli vanno verso questa direzione (Par. 3.2.9 e 3.2.15 dell’Opinion 14/2019);

-       Aggiornamento istruzioni: entrambi i modelli sottolineano l’importanza di documentare le disposizioni tra le Parti e le modifiche all’accordo o le ulteriori “istruzioni”. Nel modello tedesco (par. 5), inoltre, vengono date delle specifiche sulla conservazione degli accordi e istruzioni (3 anni dalla conclusione). Per le istruzioni “aggiuntive” o ulteriori richieste valgono gli accordi presi tra le parti, per le per spese “aggiuntive” possono essere presi ulteriori accordi;

-       Riferimenti a normative “locali”: nel modello tedesco spesso si fa riferimento al Codice civile tedesco (par.5) e al German Federal Protection Act” (par.6). Nell’Opinion l’EDPB raccomanda di “fare riferimento, in generale, alla legislazione applicabile in materia di protezione dei dati, se pertinente, anziché per un atto specifico” (par. 3.2.3. The rights and obligations of the data controller (Clause 3 of the SCCs);

-       Istruzioni difformi: nel modello tedesco vi è un’aggiunta più specifica, sempre lasciata implicita negli altri modelli (par.5 punto 4) in cui viene chiaramente indicato che il Responsabile deve “sospendere” il trattamento e attendere indicazioni del Titolare. In ambito pubblico tale previsione va soppesata con la necessità di non interrompere servizi essenziali, particolarmente in ambito sanitario.

-       Smart Working: nel modello danese è prevista la regolamentazione nell’allegato “C2”, in cui possono essere fornite delle indicazioni in merito alle misure di sicurezza da applicare in caso di attività in smart working da parte del fornitore. Nel modello tedesco, invece, si richiede un’autorizzazione esplicita da parte del Titolare (par. 6 punto 5);

-       Registro dei Trattamenti: il modello tedesco inserisce una clausola specifica sulla tenuta del Registro, ove richiesto dalla legge. Il modello danese non lo prevede ma il Titolare può inserire ulteriori istruzioni nell’allegato D, salvo che non siano in contrasto con le clausole stesse;

-       Nel modello danese è prevista una clausola di “beneficiari di terza parte” mentre nel modello tedesco si prevede la comunicazione al Titolare in caso di confisca o procedimenti concorsuali (par. 7 punto 5). Nell’Opinion l’EDPB ha affermato che è “un valore aggiunto avere una tale clausola come parte di un contratto standard. In effetti, conserva i diritti del Titolare del trattamento, inclusa la responsabilità” (par. 3.2.7 Use of sub processors);

-       Misure di sicurezza: in entrambi i modelli le misure di sicurezza applicate assumono un ruolo fondamentale. Nel modello danese vengo specificate negli appositi allegati e nel modello tedesco (par 7) si prevede la verifica dei requisiti del fornitore, il controllo delle misure di sicurezza in essere e la richiesta di informazioni al riguardo. Come nel danese, il titolare può pianificare attività di audit e, a discrezione del Titolare, si può prevedere un rimborso per le spese sostenute dal fornitore. E’ quindi evidente, come esplicitamente detto nel parere dell’EDPB, che il mero riporto dell’art. 32 non è sufficiente a dimostrare una seria accountability

-       Sub fornitori: come nel modello danese, il modello tedesco permette al Titolare di scegliere se adottare un’autorizzazione specifica o generale. In entrambi i casi si sottolinea che, in caso di sub fornitori extra UE, debbano essere garantite le opportune garanzie. Tale specifica non è sottolineata in modo così preciso nel modello danese in cui, però, è previsto un allegato specifico in merito ai trasferimenti extra UE. Inoltre viene inserita una specifica sui servizi “ancillari”;

-       Responsabilità: nel modello danese non vi è una sezione specifica relativa alle responsabilità. Il titolare può prevedere una integrazione nell’allegato D (libero). Il modello tedesco, invece, prevede un capitolo specifico (par.11) in cui si richiama l’art.82 del GDPR;

-       Risoluzione straordinaria (par.12) e risoluzione del contratto principale (par.13): il modello danese prevede “clausole” “standard”. Nel modello tedesco, invece, si distingue tra “risoluzione straordinaria” in caso di violazioni o non applicazione delle istruzioni (par. 12). Nelle clausola relativa alla risoluzione, come il modello danese, prevede la scelta tra la cancellazione o restituzione ma vengono precisate eventuali standard da seguire (opzionali) che, nel modello danese, possono essere indicati nell’allegato apposito. Inoltre, nel modello tedesco, il Titolare ha la possibilità di verificare che tali azioni siano state effettuate anche per mezzo di un fornitore esterno. Anche in questo caso si evidenzia che tali clausole non compaiono in molti facsimili di nomina che abbiamo avuto modo di analizzare.

Questa analisi conferma che i Titolari sono chiamati ad applicare i principi di Privacy by Design e di sicurezza del trattamento nella gestione dei Responsabili (fornitori) in modo più dettagliato.

Noi del GDPR CC di Liguria Digitale, in assenza di indicazioni da parte dell’Autorità di Controllo nazionale, ci siamo ispirati alle buone prassi indicate dalle Autorità degli stati membri. Abbiamo quindi definito un modello di nomina che cerca di sintetizzare le indicazioni del CNIL, dell'ADPB, del Datastylnet e del Baden Wuerttemberg e lo proponiamo ai nostri Clienti.

L’uso di questi modelli presuppone una conoscenza della normativa e delle misure di sicurezza non affatto banale e presuppone la formazione specifica alle diverse figure professionali coinvolte. La necessità di dettagliare molte informazioni sul processo di trattamento, tra cui le misure di sicurezza specifice, comporta un approccio olistico basato su un software privacy di livello.