Il trattamento dei dati personali all'interno di un contratto d'appalto: ruoli e responsabilità

È evidente che nel corso di un rapporto di appalto, pubblico o privato, le parti del sinallagma possono trovarsi a gestire e trattare un gran numero di dati personali di terzi interessati.

Il tema del trattamento dei dati è dunque centrale e può comportare responsabilità, anche economiche, rilevanti, soprattutto alla luce delle novità introdotte dal Regolamento Europeo 679/2016.

All’interno di un contratto di appalto, la definizione del ruolo delle parti in relazione al tema del trattamento dei dati non sorge in modo automatico in ragione del tipo di contratto sottoscritto.

Già da tempo il Garante italiano ha avuto modo di chiarire che non sempre le parti possono essere definite automaticamente come titolari (committente) o responsabili (appaltatore) del trattamento.

Il concreto atteggiamento delle parti rispetto alla determinazione delle finalità e dei mezzi del trattamento è il vero discrimine per formalizzare i diversi ruoli all’interno di un sistema di gestione del dato; è lo stato di fatto che determina l’individuazione del titolare, dei contitolari o dei responsabili.

Il cennato approccio in concreto già delineato dal Garante privacy trova conferma nel Regolamento europeo, che distingue tra

• TITOLARE: definito come l’entità che esercita un potere decisionale del tutto autonomo sulle finalità e modalità di trattamento (decide perché, come e chi è autorizzato a trattare il dato),
• CONTITOLARE: è possibile che due o più soggetti determinino congiuntamente le finalità e gli strumenti di trattamento dei dati,
•  RESPONSABILE: viene qualificato come responsabile esterno il soggetto che compie uno o più trattamenti per conto del titolare.

Alla luce di quanto sopra, primo fondamentale passo sarà quindi analizzare concretamente all’interno del contesto di riferimento i ruoli delle parti (committente ed appaltatore) rispetto a ciascun trattamento di dati personali.

Definiti i ruoli, essi andranno trasfusi e specificati nel contratto.

Parimenti nel contratto andranno previsti gli obblighi e le responsabilità di ciascun contraente, tenendo conto del fatto che il GDPR impone obblighi e responsabilità non solo ai titolari ed ai contitolari, ma anche ai responsabili, i quali sono soggetti a multe e sanzioni per le violazioni oltre alle richieste di risarcimento direttamente da parte degli interessati.

Particolare attenzione andrà dunque posta al momento della redazione dei contratti

• all’individuazione dei ruoli
• alla definizione degli obblighi di ciascuna parte, che andranno previsti nel dettaglio e non più in maniera generica.

In particolare qualora l’appaltatore venga definito come responsabile dovrà verificare di essere in grado di adempiere alle istruzioni del titolare nonché assicurarsi di essere dotato di modelli appropriati per l’identificazione e la revisione delle modalità di trattamento dei dati e per tempestivamente segnalare violazioni ai titolari.

Da parte loro anche i titolari dovranno verificare che le loro controparti contrattuali siano dotate di un sistema di gestione e trattamento dei dati in linea con le previsioni del Regolamento 679/2016.

L’aver predisposto un sistema di gestione del trattamento dei dati idoneo a garantite la conformità al Regolamento Europeo 679/2016 diventerà, a parere di chi scrive, uno dei requisiti che i committenti (titolari) dovranno valutare al fine dell’affidamento e della conseguente stipula del contratto di appalto, in particolare nell’ambito dei servizi.

Estrema attenzione andrà poi riservata da parte di tutti i soggetti interessati al momento della redazione del contratto alla definizione dei ruoli e degli obblighi.