Categoria: CONSULENZA AZIENDALE

I Contratti di appalto pubblici – GDPR Privacy

CONSULENZA AZIENDALE, GDPR, News

I Contratti di appalto pubblici – GDPR Privacy

I Contratti di appalto pubblici – GDPR Privacy. Il General Data Protection Regulation (Reg. UE 679/2016) è divenuto definitivamente applicabile dallo scorso 25/05/2018. Il GDPR obbliga le organizzazioni a ripensare il proprio sistema di gestione dei dati; ciò che appare meno evidente è la necessità di analizzare tutti i contratti in essere con i propri fornitori.

Ogni qualvolta il rapporto con il fornitore implica un trattamento di dati, il contratto andrà verificato e aggiornato secondo le indicazioni del Reg. 679/2016. E’ evidente che nel corso di un rapporto di appalto, pubblico o privato, le parti possono trovarsi a gestire e trattare anche un gran numero di dati personali di terzi interessati (basti pensare anche ai soli dati anagrafici e di contatto dei dipendenti delle parti contrattuali che necessariamente queste si devono scambiare per rendere possibile la gestione del contratto e la prestazione di servizi o la vendita di beni oggetto del contratto).

Il tema del trattamento dei dati è dunque centrale e può comportare responsabilità, anche economiche, rilevanti, soprattutto alla luce delle novità introdotte dal Regolamento Europeo 679/2016.

Il GDPR stabilisce infatti contenuti puntuali che devono contraddistinguere e regolare i rapporti contrattuali tra il Titolare del dato e il soggetto esterno, data processor, incaricato della gestione dei dati, sia esso un fornitore tradizionale o un cloud service provider.

D’ora innanzi, dunque, nella negoziazione di questa tipologia di contratti occorrerà tenere conto anche delle indicazioni del GDPR.

Vediamo allora in breve cosa prevede il Reg. UE 679/2016.

Partiamo dal caso più semplice dove, seppur rivestendo le parti contrattuali la figura di Titolare del Trattamento, non si configuri una contitolarità ex art.26 GDPR. In questo caso, entrambi i titolari devono rispettare il GDPR e, in particolare, assumono tutte le responsabilità prescritte dal Regolamento e, tra l’altro, dall’art.24 dello stesso. Nell’ambito di quanto prescritto, il Titolare deve garantire che “il Trattamento è effettuato conformemente al presente Regolamento”, ovviamente anche se parte del trattamento viene eseguito da terzi ed indipendentemente dal ruolo da questi rivestito.

Possiamo, poi, avere un caso di contitolarità come definito nell’art.26 del GDPR. In questa fattispecie è evidente che le parti siano coobbligate al rispetto del GDPR e precisamente ad effettuare le determinazioni ex art.26 nei modi e termini da questo definito.

Abbiamo, quindi, la terza ed ultima casistica. Qualora ci siano i presupposti per procedere alla nomina del fornitore quale Responsabile del Trattamento ex art.28 GDPR.

L’art. 28 stabilisce che l’accordo vincolante per il responsabile esterno debba prevedere:

  1. L’obbligo di trattare i dati solo in conformità alle istruzioni ricevute dal Titolare;
  2. L’obbligo di garantire che le persone fisiche incaricate del trattamento siano state adeguatamente formate e istruite;
  3. L’obbligo di garantire di avere adottato tutte le misure organizzative e tecniche idonee ad assicurare un livello di sicurezza del trattamento adeguato al grado di rischio;
  4. In caso di subappalto, che deve essere sempre autorizzato, il responsabile garantisce che il proprio sub fornitore rispetti a sua volta gli obblighi di cui all’art. 28, rimanendo in ogni caso responsabile nei confronti del Titolare in caso di violazione o inadempimento;
  5. L’obbligo di assistere il Titolare nell’ipotesi di esercizio dei diritti da parte degli Interessati, nei casi di data breaches o qualora sia necessario effettuare una valutazione di impatto;
  6. L’obbligo di permettere attività di audit o di vigilanza da parte del Titolare e mettere a sua disposizione tutte le informazioni necessarie.

Quanto fin qui determinato, fa nascere obblighi su entrambe le parti contrattuali:

  • il committente e Titolare del trattamento oltre ad attivarsi per la redazione o l’aggiornamento dei contratti, dovrà scegliere oculatamente i propri fornitori e preoccuparsi che siano dotati di un sistema di gestione e trattamento dei dati in linea con le previsioni del Regolamento 679/2016 ovvero di dare ad essi istruzioni dettagliate sulle modalità di trattamento dei propri dati.
  • l’appaltatore, qualora venga definito come responsabile dovrà verificare di essere in grado di adempiere alle istruzioni del titolare nonché assicurarsi di essere dotato di modelli appropriati per l’identificazione e la revisione delle modalità di trattamento dei dati e per tempestivamente segnalare violazioni ai titolari.

L’aver predisposto un sistema di gestione del trattamento dei dati idoneo a garantite la conformità al Regolamento Europeo 679/2016 diventerà, a parere di chi scrive, uno dei requisiti che i committenti (titolari) dovranno valutare al fine dell’affidamento e della conseguente stipula del contratto di appalto, in particolare nell’ambito dei servizi.

Estrema attenzione andrà poi riservata da parte di tutti i soggetti interessati al momento della redazione del contratto alla definizione dei ruoli e degli obblighi.

In definitiva possiamo concludere che, in mancanza di adeguamento alle disposizioni del GDPR, non è possibile per l’appaltatore e/o il subappaltatore ricevere dal committente alcun dato personale. Questa impossibilità al trasferimento rende impossibile la realizzazione dell’oggetto del contratto e risulta, quindi, essere motivo di risoluzione contrattuale.

 

Regolamento sulla protezione dei dati

CONSULENZA AZIENDALE

Il Regolamento Generale sulla Protezione dei Dati (GDPR) entrerà in vigore il 25 maggio 2018 in tutti gli Stati membri dell’Unione Europea. Frutto di diversi anni di lavoro da parte della Commissione Europea, il regolamento è costituito da norme sulla protezione dei dati personali che puntano a due obiettivi principali: dare ai cittadini europei un controllo completo sui propri dati personali e semplificare il quadro normativo per le imprese che gestiscono tali dati. Il GDPR è inteso come uno strumento abilitante del mercato digitale e si inserisce nelle politiche della Commissione Europea per lo sviluppo dell’economia digitale.

Il GDPR sostituisce l’attuale Direttiva 95/46/EC sulla Protezione dei Dati, che risale al 1995. I principi fondamentali in tema di privacy e protezione dei dati sono rimasti invariati, ma il nuovo regolamento tiene conto dei cambiamenti avvenuti negli ultimi anni nel mondo digitale e si applica in tutti gli stati della UE.

Gli aspetti più innovativi del GDPR rispetto alla precedente normativa sono tre: l’extraterritorialità, le sanzioni e il consenso.

GDPR ed extraterritorialità

Le norme del GDPR proteggono i dati dei cittadini europei e si applicano a tutte le società che trattano o gestiscono tali dati, a prescindere dal Paese in cui hanno la sede legale o in cui i dati vengono elaborati. Sono soggette al GDPR le aziende che offrono beni o servizi (a pagamento o meno) o che monitorano il comportamento di individui residenti nella UE.

Le sanzioni nel GDPR

Il GDPR introduce multe economiche per le aziende che non rispettano il regolamento, che possono ammontare fino al 4 per cento del fatturato annuale globale o a 20 milioni di euro. Un’azienda è passibile di sanzione se, per esempio, non ha policy adeguate per il consenso al trattamento dei dati personali o se viola i principi alla base del concetto di “Privacy by Design” (vedi sotto).

Nuove norme sul consenso al trattamento dei dati

Le società che raccolgono o trattano dati personali devono spiegare in modo chiaro agli utenti tutte le condizioni che regolano raccolta e trattamento dei dati. È responsabilità di chi raccoglie/gestisce i dati redigere termini e condizioni in un linguaggio semplice, comprensibile a tutti i cittadini, senza possibilità di equivoco. Gli stessi criteri si applicano per gli strumenti attraverso cui l’utente esprime il proprio consenso. È inoltre obbligatorio dichiarare come verranno elaborati i dati richiesti all’utente.

Il testo completo del GDPR in italiano è disponibile sul sito dell’Unione Europea.

GDPR: cosa devono sapere le aziende

Il GDPR ridisegna il concetto di privacy introducendo norme specifiche su modalità di trattamento dei dati, diritti dei soggetti interessati, chi è responsabile dei dati, modalità di comunicazione di eventuali violazioni subite, sanzioni per l’infrazione del regolamento.

Per essere conformi al GDPR le aziende devono prepararsi in anticipo, rivendo le proprie policy e, se necessario, adeguandole alle richieste del regolamento. Nel seguito sono illustrati i punti chiave del GDPR, che hanno un impatto operativo sulle società che raccolgono o trattano dati di cittadini europei.

GDPR e notifica delle violazioni

Le aziende hanno l’obbligo di notificare alle autorità competenti e ai soggetti interessati le violazioni di dati che possono mettere a rischio “i diritti e le libertà degli individui”. La notifica deve avvenire entro 72 ore dalla presa d’atto della violazione.

Per approfondire, leggi anche l’articolo GDPR: compliance, rischi e conseguenze in caso di violazione o scarica il white paper Implicazioni dell’obbligo di notifica di violazione dei dati nel GDPR

Il diritto all’accesso ai dati nel GDPR

Le aziende devono garantire agli utenti il diritto di sapere se i loro dati vengono elaborati, dove e a quale scopo. Inoltre, se richiesti, devono fornire i dati personali al soggetto interessato, in modo gratuito e in formato elettronico.

Il diritto all’oblio

Gli utenti hanno diritto alla cancellazione dei propri dati personali. Il diritto si applica quando l’utente non vuole mantenere il consenso al trattamento dei suoi dati e non ci sono ragioni legittime per conservarli.

Per approfondire: Il GDPR tra visibilità, controllo e consenso al trattamento dei dati

Portabilità dei dati

Gli utenti hanno diritto di ricevere i propri dati personali e trasmetterli a un altro ente. Per agevolare il trasferimento, i dati devono essere resi disponibili in un “formato leggibile da una macchina”.

Leggi anche: GDPR: come garantire la conformità per i dati in cloud

Privacy by Design

Il GDPR trasforma in legge un concetto già diffuso, ma considerato solo una best practice. La protezione dei dati deve essere incorporata in prodotti e servizi a partire dalla fase di progettazione degli stessi, e non essere considerata in fasi successive come un elemento aggiuntivo.

Cifratura e pseudonimizzazione

Alle aziende è richiesto di mettere in atto tecniche che garantiscono e tutelano la privacy dei soggetti interessati. Tra queste ci sono la cifratura dei dati, in modo che possano essere letti solo da chi è autorizzato, e la pseudonimizzazione, che consiste nel sostituire campi identificativi in un set di dati con uno o più identificatori artificiali.

Per approfondire: GDPR: le aziende europee sono pronte per la pseudonimizzazione?

Data Protection Officer (Responsabile della protezione dei dati)

Gli enti pubblici e le aziende le cui principali attività implicano “un monitoraggio regolare e sistematico di dati su larga scala” dovranno nominare un Data Protection Officer, che avrà il compito di garantire la conformità dell’azienda al GDPR.

art.fonte cwi.it