ITALIA OGGI
Nel regolamento 679/2016 previsti nuovi adempimenti per chi tratta dati per conto terzi
Professioni, privacy formato Ue
Obbligo di contratto dettagliato con i committenti
Professionisti e consulenti obbligati a stipulare un contratto con il proprio committente per non incorrere in violazioni del nuovo Regolamento europeo sulla privacy (679/2016). Il contratto, o un atto giuridico analogo, dovrà precisare, infatti, i compiti relativi alla protezione dei dati. Questa una delle principali novità del testo che è formalmente entrato in vigore il 24 maggio 2016, ma che diverrà operativo il 25 maggio 2018. È cominciato, dunque, il conto alla rovescia: entro due anni sarà necessario allineare la normativa italiana a quella europea, direttamente applicabile, alle disposizioni europee. Governo e Garante delle privacy sono chiamati, quindi, a verificare se la normativa e se i provvedimenti in essere sono conformi, o meno, al dettato del regolamento o se, invece, occorra intervenire a correggere o integrare quanto prodotto in questi 20 anni di vigenza prima della legge 675/1996 e poi del Codice della privacy. Anche imprese, p.a. e professionisti sono chiamati a studiare il regolamento 679/2016 per adeguare la propria struttura e la propria prassi. Tra i punti qualificanti del regolamento, infatti, va segnalata la nuova disciplina dei ruoli. In particolare, trovano una nuova disciplina il responsabile per il trattamento dei dati (artt. 28 e 29) e il contitolare del trattamento (art. 26). Il primo tratterà dati personali «per conto» del titolare del trattamento; il contitolare, invece, determinerà, congiuntamente al titolare, finalità e mezzi del trattamento. Si hanno, quindi, un’impresa, una p.a. o un professionista, che, per eseguire il trattamento, si avvarrà di un altro soggetto (il responsabile del trattamento); oppure (per l’ipotesi della contitolarità) due o più titolari che cooperano tra loro per un trattamento, caratterizzato da una finalità comune.
In entrambi i casi il regolamento europeo prevede alcune formalità obbligatorie. Tra i contitolari dovrà essere sottoscritto un accordo interno, che disciplina rapporti e responsabilità di fronte al cittadino/consumatore. Fra il titolare e il responsabile dovrà essere stipulato un contratto. In tutti i casi, dunque, sarà necessario un atto contrattuale o di altra natura che chiarisca gli obblighi delle parti per la protezione dei dati personali. Attraverso questa disciplina europea, le figure di riferimento dovranno fare i conti anche i professionisti nei rapporti con i loro committenti. Il professionista esterno potrà trovarsi, rispetto al proprio cliente-committente, nella condizione di responsabile esterno o di contitolare. Sarà un responsabile se tratterà i dati «per conto» del suo committente. Sarà, invece, un contitolare se concorrerà definire finalità e mezzi del trattamento. In entrambi i casi il regolamento renderà più rigorosa la formalizzazione dei rapporti. Il codice attuale, infatti, per il responsabile del trattamento si accontentava di una semplice designazione. Il regolamento, invece, prevede un contratto o atto simile, che contenga clausole specifiche sulle modalità del trattamento, sulle misure di sicurezza, impegni su corretta condotta degli incaricati del trattamento ecc. È anche previsto che la Commissione Ue predisponga clausole contrattuali standard. Se il rapporto sarà tra più titolari alla pari, le formalità prevedono un contratto dettagliato sulle rispettive responsabilità e sugli obblighi nei confronti dell’interessato. Il regolamento mette, dunque, di fronte a formalità nuove, e ciò in nome della protezione dei dati. Un tema da approfondire sarà la valenza di tali regole nei rapporti tra impresa e proprio consulente e nei rapporti tra eventuali soggetti cui il consulente si rivolga a sua volta (ad esempio centri di elaborazione dei dati, società di servizi ecc.). Un bisogno di certezza è ancora più necessario considerato che la violazione delle disposizioni sugli obblighi del titolare e del responsabile (artt. 25-39) è punita con la sanzione pecuniaria fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato globale annuo mondiale (art. 83 del regolamento). Antonio Ciccia Messina