Privacy e gestione dei fornitori
di Riccardo Giacobbi
1. Cenni introduttivi
Nel presente contributo verranno illustrati i risvolti concreti che il Regolamento (UE) n. 2016/679 (“GDPR”) ha comportato nell’ambito della gestione dei fornitori.
Come una società deve comportarsi con i propri fornitori alla luce dell’entrata in vigore del GDPR?
Per rispondere a tale interrogativo, verrà preliminarmente affrontato il tema della condivisione – tra committente e fornitore – delle informazioni, sia con riferimento alla più che nota privacy policy sia con riferimento alla questione, altrettanto nota per le aziende, della responsabilità.
Verrà poi analizzata la problematica della regolamentazione del rapporto contrattuale; la disamina sarà seguita dalla sintetica esposizione di alcuni esempi pratici.
Da qui si giungerà a parlare di valore del dato, per poi concludere con una concisa ricapitolazione di quanto osservato sul tema.
2. L’acquisizione e la condivisione delle informazioni
Affidare un determinato servizio ad un soggetto terzo può implicare che anche la raccolta, l’elaborazione, l’utilizzo e la conservazione di dati personali venga esternalizzata (in che misura e con quali modalità lo dirà l’accordo, infra“La regolamentazione del rapporto contrattuale”).
La scelta del fornitore, dunque, oltre a rilevare ai fini della compliancealle principali normative, tra cui il GDPR, richiede necessariamente una soglia di sensibilità molto elevata per un argomento, quello del trattamento dei dati, che ha una ampia portata nelle strategie di mercato.
Immediatamente, si comprende come tale selezione non possa essere effettuata in modo autonomo da singole aree aziendali, che sia quella amministrativa o quella del marketing, per fare degli esempi, ma, al contrario, debba avvenire in maniera centralizzata; in particolare, dovrà essere compiuta mediante un’analisi dell’organigramma aziendale del fornitore volta all’identificazione dei ruoli interni ricoperti, nonché mediante una mappatura dei processi aziendali (as-is) al fine di comprenderne la gestione dei flussi di dati.
Si consideri, infatti, che un fornitore che non rispetta il GDPR può (i) mettere in pericolo la sicurezza dei processi di trattamento dei dati personali, oltre che (ii) non aderire alle policyaziendali non solo in termini di coerenza alle norme cogenti ed alle c.d. best practice, ma anche in termini di performancee, quindi, di consonanza alle esigenze di businessdell’impresa. I descritti pregiudizi comprometterebbero la solidità della committente sia internamente che verso l’esterno, con enormi ripercussioni anche in ottica reputazionale.
Da un punto di vista pratico, è fondamentale che l’azienda si doti di un sistema centralizzato di selezione dei fornitori – progettato e strutturato in base alla logica del c.d. risked based thinking– e che già internamente offra garanzie da un punto di vista di cyber security(per fare un esempio, si può attingere da sistemi di controllo approvati a livello internazionale come il frameworkper la gestione della sicurezza delle informazioni SGSI, ossia l’ISO più recente).
In secondo luogo, risulta indispensabile per l’azienda verificare quali siano le modalità di gestione dei dati adottate e, soprattutto, se queste rispettino o meno non solo le finalità esplicitate agli interessati, ma, altresì, le scelte – informate, libere e consapevoli – di quest’ultimi sull’utilizzo dei propri dati. Altrettanto importante per la società – titolare del trattamento che si è dotata di un c.d. piano di disaster recovery (insieme delle misure tecnologiche ed organizzative volte al ripristino dell’infrastruttura informatica di gestione dei dati) – sarà valutare approfonditamente il fornitore in tal senso, ovvero, se il plan è affidato ad un esterno, testare che le misure di sicurezza di quest’ultimo siano proporzionate ai rischi derivanti dai trattamenti compiuti. Tale valutazione può essere effettuata richiedendo al fornitore la compilazione di un questionario nel quale descrivere le misure di sicurezza adottate e gli strumenti utilizzati per fronteggiare particolari situazioni di pericolo per l’integrità dei dati conservati.
Il monitoraggio degli asset informativi affidati a terzi e il contestuale perseguimento di obiettivi di sicurezza, anche e soprattutto nelle attività di gestione dei fornitori, non possono che giovare all’azienda.
Inoltre, si annoti che la lista dei fornitori (e relativi accordi / nomine) deve essere mappata nel Registro dei trattamenti (se costituito, oltre a rappresentare una delle molteplici concretizzazioni del principio di accountability, consente all’azienda di mantenere una più accurata gestione dei fornitori).
E i fornitori con cui si collabora da prima dell’avvento del GDPR? A seconda del rapporto B2B intercorrente, la valutazione dell’affidabilità del fornitore può essere svolta, anche in questo caso, nelle modalità seguite per i potenziali nuovi fornitori, ossia con gli strumenti, inter alia, della checkliste/o della trasmissione di certificazioni o di dichiarazioni. In ogni caso, deve ritenersi essenziale la verifica dei contratti in corso con, eventualmente, una conseguente attività di aggiornamento nell’ottica della nuova normativa.
Ma anche il soggetto terzo, che sia fornitore già incaricato o fornitore solo potenziale, deve poter riporre la propria fiducianei confronti del soggetto committente. Da qui l’importanza, anche per il fornitore, della menzionata condivisione delle informazioni, il quale – così si registra più frequentemente nella prassi – viene reso edotto (della conformità del committente al GDPR) direttamente nel contratto, i.e.nelle sue premesse, in apposito passaggio del testo ovvero in un allegato. Ciò, invero, consentirebbe di potersi impegnare nella gestione, per conto altrui, di determinate operazioni di trattamento dei dati senza nutrire il dubbio di compiere azioni ab origine illecite.
La detta condivisione, ad ogni modo, è cruciale anzitutto per l’azienda committente, che, messe per iscritto le informazioni riguardanti l’organizzazione altrui, persegue i propri obiettivi di compliance scongiurando rischi per gli interessati e, sopra ogni cosa, ipotesi di responsabilità di natura amministrativa, civile e penale cui potrebbe incorrere per essersi avvalsa di un soggetto agente in violazione della normativa privacy.
3. La regolamentazione del rapporto contrattuale
In continuità con il precedente paragrafo, su un piano prettamente operativo, una volta effettuate le menzionate attività di auditsul fornitore, si rende opportuno, al fine di formalizzare il rapporto di fornitura, di procedere alla predisposizione di un apposito contratto volto a regolare le reciproche obbligazioni. Ed è proprio in tale occasione che si rende indispensabile regolamentare anche gli aspetti relativi al trattamento dei dati personali, che potranno assumere rilevanza nel corso della fase esecutiva del contratto.
Nella prassi, si è soliti disciplinare la materia con l’inserimento all’interno del testo contrattuale di un’apposita clausola – spesso denominata: “Trattamento dei dati personali” – volta in primisa contenere una dichiarazione delle parti contrattuali circa la conformità delle proprie strutture alla normativa di settore.
Le mere dichiarazioni di principio non sono certamente sufficienti; la previsione di una diposizione ad hoc, infatti, deve mirare altresì a chiarire se, in relazione alle attività che saranno eseguite nell’ambito di esecuzione del contratto, ve ne sono alcune che implicano il trattamento di dati personali di persone fisiche.
Una volta delineate tali attività, è necessario provvedere all’identificazione dei ruoli ricoperti dalle parti.
Nell’ambito del contratto di fornitura standard, attraverso il quale una committente incarica un fornitore di svolgere una determinata attività, che comporti il trattamento dei dati per conto della stessa, la prima sarà identificata quale titolare del trattamento, mentre il fornitore assumerà il ruolo di responsabile.
In virtù del disposto dell’art. 28 del GDPR, norma sul Responsabile del trattamento, che richiede contenuti determinati per la nomina di tale figura, le parti dovranno necessariamente far riferimento ad un ulteriore e separato accordo attraverso il quale disciplinare nel dettaglio la designazione. Tale patto potrà essere richiamato nel contratto principale come allegato, ovvero costituire una convenzione a sé stante (nelle cui premesse dovrà comunque indicarsi la fonte dalla quale trova il proprio fondamento, i.e.il contratto di fornitura).
Posto quanto sopra, occorre rilevare che nella pluralità dei casi concreti l’identificazione tout court della committente quale titolare e del fornitore quale responsabile si rivela riduttiva se non in alcune ipotesi addirittura erronea.
È infatti doveroso precisare in quali circostanze del rapporto instaurando il fornitore è responsabile rispetto alle ipotesi in cui agisce quale titolare autonomo del trattamento, nonché esso stesso contitolare dei dati personali oggetto del rapporto.
Tale precisazione permette di evitare un’eccessiva generalizzazione sul punto oltreché determinare le rispettive responsabilità (infra paragrafo 3.2 “Non solo responsabilità. Il valore del dato”).
In concreto, le parti dovranno, dunque:
- chiarire per quali finalità e attività agiscono come singoli titolari autonomi (e quindi completamente indipendenti l’una dall’altra);
- impegnarsi a garantire un trattamento conforme alla normativa privacy;
- specificare per quali finalità e attività eventualmente agiscono come contitolari.
Quest’ultima ipotesi (prevista dall’art. 26 del GDPR), presupponendo una determinazione congiunta delle finalità e dei mezzi del trattamento, richiede la predisposizione di un separato accordo inter partesvolto principalmente a determinare le rispettive responsabilità in merito all’osservanza degli obblighi normativi, con particolare riguardo all’esercizio dei diritti dell’interessato nonché alle rispettive funzioni di comunicazione delle informazioni. Anche tale convenzione potrà essere materialmente allegata al contratto di fornitura ovvero costituire un separato patto (che richiamerà, eventualmente nelle premesse, la base contrattuale ove trova la propria genesi).
È sempre con la clausola quivi descritta che le parti possono eventualmente determinare manleve o attribuzioni di responsabilità per danni o pretese di terzi che potrebbero derivare dalla violazione delle disposizioni normative in materia di protezione dei dati personali.
Quanto sin qui spiegato concerne la gestione dei fornitori postGDPR. Come comportarsi, invece, con i rapporti sorti prima del GDPR?
Come già spiegato sopra (infra paragrafo 2 “L’acquisizione e la condivisione di informazioni”), si rende vitale un’opera di aggiornamento dei contratti mirata a rivedere quella che era la disciplina in materia di privacy.
Tale attività può essere espletata mediante la predisposizione di un addendumal contratto originario, attraverso il quale preliminarmente dare atto dell’intervenuta nuova disciplina, che giustifica la revisione del precedente accordo, per poi passare, qualora assente nel precedente contratto, all’introduzione di una specifica clausola sul trattamento dei dati personali, ovvero, se, invece, presente, ad una sua riscrittura, con aggiornamento dei riferimenti normativi e, se del caso, dei ruoli e delle responsabilità delle parti.
3.1 Esempi chiarificatori
Si illustrano ora tre casi pratici allo scopo di rendere più chiara l’esposizione:
- L’azienda decide di demandare ad altra società l’attività di vettura dei suoi prodotti; ai fini della consegna, il trasportatore dovrà necessariamente disporrè dei dati personali (nome e cognome, residenza, numero di telefono mobile, indirizzo di posta elettronica) dei clienti dell’impresa committente. Quest’ultima, titolare del trattamento dei dati personali raccolti nella propria lista clienti, dovrà preliminarmente porre in essere – come si spiegava subparagrafo 2 – le procedure di valutazione del sistema di gestione del vettore. Accertatane l’adeguatezza alle regole di settore, l’azienda, proprio perché titolare che affida i dati personali ad un soggetto terzo (terzo anche rispetto alla titolarità del dato), procederà alla nomina del soggetto in questione quale Data processor, e.Responsabile del Trattamento; tale designazione dovrà rispettare i parametri contenutistici previsti dal menzionato art. 28 GDPR (per il quale “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.”,si veda il paragrafo 3 della norma in analisi).
- L’azienda decide di usufruire dei servizi c.d. cloud computingforniti da un’altra società. In questa casistica, sorgono delle problematiche notevoli, in quanto le modalità di gestione del dato da parte del fornitore possono generare incertezza, in particolare sulla posizione geografica del data centere, quindi, della collocazione dei dati personali affidati. In aggiunta, i fornitori in questione sono per lo più grandi società rispetto alle quali sarebbe impossibile una procedura di auditinge la negoziazione di un accordo ad hoc. Per la PMI, in concreto, sarà una mera adesione alle loro condizioni generali di contratto, senza una effettiva possibilità di controllo e, conseguentemente, dovendo confidare nell’affidabilità convenzionalmente riconosciuta dal mercato al providerin questione. Diverso è il caso, invece, di una società che si occupa di storage del dato che non presenta le dimensioni e la forza commerciale di note multinazionali, con la quale, pertanto, sarà possibile porre in essere tutte le misure di analisi e negoziazione descritte precedentemente.
- L’azienda, ai fini dell’organizzazione di un evento, decide di dare mandato ad altra società specializzata nel c.d. Anche in questo caso, la disciplina del rapporto tra le parti, con riguardo al trattamento dei dati personali non è di semplice lettura, dato che l’emissione dei titoli d’ingresso a clienti sconosciuti alla committente ha un suo significato pratico, mentre l’invito o accredito ad un individuo i cui dati personali sono già detenuti dalla committente ha una diversa rilevanza. Nel primo caso, è lecito pensare che il fornitore sia addirittura titolare del trattamento, mentre nel secondo caso si potrebbe ricadere nel più consueto rapporto committente-titolare vsfornitore-responsabile, ovvero nella fattispecie della contitolarità.
Si comprende, quindi, come in un caso del genere, il contratto sia cruciale non soltanto per adempiere agli obblighi di legge, ma anche e soprattutto in una logica di proprietà del dato.
All’emissione del biglietto, il fornitore non potrà che essere c.d. Data controller(Titolare del trattamento) così come definito dal GDPR; tuttavia, i dati personali – raccolti attraverso il servizio di ticketing oggetto del contratto di fornitura – ben potranno essere parimenti forniti e, in quanto trasmessi, passare sotto l’egida dell’azienda committente, la cui posizione dovrà essere contrattualizzata (ad esempio, la società che si occupa della biglietteria potrà divenire Responsabile del trattamento su tale copiadi dati personali).
3.2. Non solo responsabilità. Il valore del dato
Quanto descritto in ordine alle doverose attività di auditingdei potenziali fornitori (e di aggiornamento dei rapporti in essere) ed all’inevitabile stipulazione di accordi che disciplinino anche i profili legati al trattamento dei dati personali delle persone fisiche coinvolte trova il suo fondamento e comun denominatore nel principio della responsabilità.
Sul punto l’art. 24 del GDPR prevede una responsabilità generale del titolare per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato sia direttamente sia tramite soggetti che agiscono per suo conto. In particolare, il titolare deve poter dimostrare la conformità delle attività di trattamento con la normativa di settore e porre in essere misure adeguate ed efficaci volte a garantire ciò. Sulle misure che il titolare deve adottare viene in ausilio il GDPR ove nel considerando 74 così recita: “… Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”.
Si comprende quindi che il titolare risponde sempre della gestione effettuata dal responsabile; in ragione di ciò, è opportuno che il medesimo ricorra a responsabili in grado di presentare garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto le misure tecniche e organizzative che soddisfino i requisiti del Regolamento (così il Considerando 81 GDPR), e che le sue decisioni siano conformi alle leggi. Al fine di potersi eventualmente rivalersi sul responsabile, il titolaresarà tenuto quindi a dimostrare di aver selezionato un fornitore-responsabile adeguato e di aver previsto nel contratto, oltre ad eventuali discipline particolari sui ruoli – si veda supra esempio c) – le dovute garanzie, da parte del fornitore, sulla conformità dell’organizzazione ai dettati normativi sulla privacy.
Per quanto attiene al responsabile, invece, la norma che ne disciplina la responsabilità si rinviene nell’art. 82 del GDPR, in forza del quale, nel caso di trattamento in violazione delle norme del regolamento, il responsabile risponde, congiuntamente al titolare, per il danno cagionato all’interessato. Tale responsabilità, precisa il regolamento, sussiste però solo in caso di non corretto adempimento degli obblighi in capo al responsabile stesso, ovvero qualora egli abbia agito in maniera difforme rispetto alle istruzioni dategli del titolare con la nomina di cui si è detto sopra.
Da qui l’importanza di definire dettagliatamente, in sede di contrattualizzazione del rapporto, le istruzioni cui il fornitore-responsabile) deve attenersi nello svolgimento di operazioni di trattamento per conto del committente-titolare, con lo scopo di delimitare i confini della rispettiva responsabilità.
Il Considerando 28, peraltro, stabilisce un obbligo del responsabile di informare il titolare qualora ritenga che una o più istruzioni ricevute violino delle norme in materia di protezione dei dati personali. Si comprende che tale obbligo sia che uno strumento per poter limitare la propria responsabilità. In caso di omesso controllo od in caso di mancata informativa al titolare, il responsabile risponderà, infatti, in solido con quest’ultimo.
In conclusione, se un titolare e un responsabile sono coinvolti nello stesso trattamento e sono responsabili del danno causato, ne rispondono in solido per l’intero danno al fine di garantirne il risarcimento (fatto salvo il diritto di regresso tra gli stessi ove ne ricorrano i presupposti).
A chiosa di quanto detto, giova evidenziare che il GDPR, all’art. 82, par. 3, prevede un’esenzione di responsabilità del titolare e del responsabile qualora questi siano in grado di dimostrare che l’evento dannoso scaturito dal trattamento dei dati dagli stessi effettuato non è imputabile ad un loro condotta, avendo adottato tutte le misure idonee per evitare il danno stesso.
Riprendendo l’esempio sub. lett. c), emerge in tutta la sua evidenza un altro aspetto centrale della questione: il valore del dato (sul punto, Capitolo “Valorizzazione dei dati come asset aziendale” di A. Iannì). Nel descritto caso pratico, per la committente i dati personali dei partecipanti all’evento presentano un significato economico estremante importante.
Pertanto, l’azienda, nella regolamentazione del rapporto con i fornitori, deve tenere prioritariamente in conto, non soltanto della conformità della struttura aziendale del terzo ai diktat del GDPR, ma anche di come comporre l’attribuzione della titolarità.
4. Ricapitolando
Si conclude con un riepilogo di quanto osservato circa una corretta e efficiente gestione dei fornitori in un’ottica di conformità al GDPR. In via primaria, infatti, l’azienda dovrebbe:
- lista dei fornitori alla mano (da inserire nel Registro dei Trattamenti), rivalutare i contratti stipulati prima dell’entrata in vigore del nuovo regolamento e, quindi, procedere all’aggiornamento degli stessi, eventualmente insieme ad un’attività di verifica della conformità dell’organizzazione altrui alle nuove regole in ambito privacy;
- adottare una procedura centralizzata di selezione dei fornitori;
- prevedere, con riguardo alla detta procedura, un adeguato processo di auditing del potenziale fornitore, che deve essere compliant sia nei confronti del GDPR sia nei confronti delle policy aziendali del committente;
- contrattualizzare il rapporto con il fornitore anche con riferimento al trattamento dei dati personali, con puntuale previsione di quanto richiesto dalla normativa, ma anche con un particolare focus sul valore che i dati personali stessi possono avere per l’azienda.
L’azienda, difatti, nell’attività di gestione dei fornitori, oltre a perseguire l’obiettivo della compliance, orientata a garantire efficienza ed adeguatezza organizzativa e, in generale, evitare responsabilità, deve mantenere uno sguardo sempre attento alla valorizzazione dei dati come vero e proprio patrimonio aziendale.
Autore