I Contratti di appalto pubblici – GDPR Privacy
I Contratti di appalto pubblici – GDPR Privacy. Il General Data Protection Regulation (Reg. UE 679/2016) è divenuto definitivamente applicabile dallo scorso 25/05/2018. Il GDPR obbliga le organizzazioni a ripensare il proprio sistema di gestione dei dati; ciò che appare meno evidente è la necessità di analizzare tutti i contratti in essere con i propri fornitori.
Ogni qualvolta il rapporto con il fornitore implica un trattamento di dati, il contratto andrà verificato e aggiornato secondo le indicazioni del Reg. 679/2016. E’ evidente che nel corso di un rapporto di appalto, pubblico o privato, le parti possono trovarsi a gestire e trattare anche un gran numero di dati personali di terzi interessati (basti pensare anche ai soli dati anagrafici e di contatto dei dipendenti delle parti contrattuali che necessariamente queste si devono scambiare per rendere possibile la gestione del contratto e la prestazione di servizi o la vendita di beni oggetto del contratto).
Il tema del trattamento dei dati è dunque centrale e può comportare responsabilità, anche economiche, rilevanti, soprattutto alla luce delle novità introdotte dal Regolamento Europeo 679/2016.
Il GDPR stabilisce infatti contenuti puntuali che devono contraddistinguere e regolare i rapporti contrattuali tra il Titolare del dato e il soggetto esterno, data processor, incaricato della gestione dei dati, sia esso un fornitore tradizionale o un cloud service provider.
D’ora innanzi, dunque, nella negoziazione di questa tipologia di contratti occorrerà tenere conto anche delle indicazioni del GDPR.
Vediamo allora in breve cosa prevede il Reg. UE 679/2016.
Partiamo dal caso più semplice dove, seppur rivestendo le parti contrattuali la figura di Titolare del Trattamento, non si configuri una contitolarità ex art.26 GDPR. In questo caso, entrambi i titolari devono rispettare il GDPR e, in particolare, assumono tutte le responsabilità prescritte dal Regolamento e, tra l’altro, dall’art.24 dello stesso. Nell’ambito di quanto prescritto, il Titolare deve garantire che “il Trattamento è effettuato conformemente al presente Regolamento”, ovviamente anche se parte del trattamento viene eseguito da terzi ed indipendentemente dal ruolo da questi rivestito.
Possiamo, poi, avere un caso di contitolarità come definito nell’art.26 del GDPR. In questa fattispecie è evidente che le parti siano coobbligate al rispetto del GDPR e precisamente ad effettuare le determinazioni ex art.26 nei modi e termini da questo definito.
Abbiamo, quindi, la terza ed ultima casistica. Qualora ci siano i presupposti per procedere alla nomina del fornitore quale Responsabile del Trattamento ex art.28 GDPR.
L’art. 28 stabilisce che l’accordo vincolante per il responsabile esterno debba prevedere:
L’obbligo di trattare i dati solo in conformità alle istruzioni ricevute dal Titolare;
L’obbligo di garantire che le persone fisiche incaricate del trattamento siano state adeguatamente formate e istruite;
L’obbligo di garantire di avere adottato tutte le misure organizzative e tecniche idonee ad assicurare un livello di sicurezza del trattamento adeguato al grado di rischio;
In caso di subappalto, che deve essere sempre autorizzato, il responsabile garantisce che il proprio sub fornitore rispetti a sua volta gli obblighi di cui all’art. 28, rimanendo in ogni caso responsabile nei confronti del Titolare in caso di violazione o inadempimento;
L’obbligo di assistere il Titolare nell’ipotesi di esercizio dei diritti da parte degli Interessati, nei casi di data breaches o qualora sia necessario effettuare una valutazione di impatto;
L’obbligo di permettere attività di audit o di vigilanza da parte del Titolare e mettere a sua disposizione tutte le informazioni necessarie.
Quanto fin qui determinato, fa nascere obblighi su entrambe le parti contrattuali:
il committente e Titolare del trattamento oltre ad attivarsi per la redazione o l’aggiornamento dei contratti, dovrà scegliere oculatamente i propri fornitori e preoccuparsi che siano dotati di un sistema di gestione e trattamento dei dati in linea con le previsioni del Regolamento 679/2016 ovvero di dare ad essi istruzioni dettagliate sulle modalità di trattamento dei propri dati.
l’appaltatore, qualora venga definito come responsabile dovrà verificare di essere in grado di adempiere alle istruzioni del titolare nonché assicurarsi di essere dotato di modelli appropriati per l’identificazione e la revisione delle modalità di trattamento dei dati e per tempestivamente segnalare violazioni ai titolari.
L’aver predisposto un sistema di gestione del trattamento dei dati idoneo a garantite la conformità al Regolamento Europeo 679/2016 diventerà, a parere di chi scrive, uno dei requisiti che i committenti (titolari) dovranno valutare al fine dell’affidamento e della conseguente stipula del contratto di appalto, in particolare nell’ambito dei servizi.
Estrema attenzione andrà poi riservata da parte di tutti i soggetti interessati al momento della redazione del contratto alla definizione dei ruoli e degli obblighi.
In definitiva possiamo concludere che, in mancanza di adeguamento alle disposizioni del GDPR, non è possibile per l’appaltatore e/o il subappaltatore ricevere dal committente alcun dato personale. Questa impossibilità al trasferimento rende impossibile la realizzazione dell’oggetto del contratto e risulta, quindi, essere motivo di risoluzione contrattuale.