Data protection e data governance: il ruolo del contratto nell’evoluzione del comparto IT

Data protection e data governance: il ruolo del contratto nell’evoluzione del comparto IT

di Colin & Partners - Privacy e cybersecurity

Abstract

L’inarrestabile crescita di canali, servizi e prodotti ICT sta plasmando il mercato estendendo la portata del cambiamento alla società stessa.
Un’evoluzione che ha un impatto diretto non solo sulle dinamiche di domanda/offerta, ma che coinvolge anche le relazioni, complice una trasformazione normativa sempre più orientata alla “responsabilizzazione” delle parti e alla definizione di un approccio diretto alla massima garanzia.
In questo contesto, il contratto rappresenta il miglior strumento per tutelare gli interessi aziendali da un lato e il patrimonio informativo aziendale dall’altro.


Valentina Frediani (Colin) ha trattato il tema dei contratti ICT anche in una ➡ video-intervista AFGE


“Non puoi gestire ciò che non puoi misurare” recita Robert Kaplan uno dei principali teorici di risk management e governance aziendale e, a ben vedere, non si potrebbe meglio spiegare la centralità dell’elemento contrattuale nella costruzione di un’efficace strategia aziendale.

Sviluppo software, licenze d’uso, cloud, hosting o web design rappresentano ormai tipologie contrattuali tipicamente aziendali, essenziali per disciplinare l’utilizzo della molteplicità dei canali in uso e per garantire la soddisfazione delle parti in virtù degli obblighi assunti e della tutela dei diritti maturati.

Nonostante la prassi contrattuale si stia consolidando sul mercato, i fatti di cronaca riportano un crescente numero di contenziosi in ambito informatico, spesso determinati da una gestione superficiale del rapporto contrattuale, che riduce i progetti a semplici ordini piuttosto che a servizi informatici regolati da accordi tra le parti, esponendo l’impresa a criticità ed accrescendo il rischio di incorrere in sanzioni.

Una tendenza talvolta consolidata dalla presenza, negli accordi contrattuali, di clausole eccessivamente sbilanciate in favore del fornitore, tali da creare un evidente divario nel rapporto tra le parti. Approccio tuttavia a cui – soprattutto negli ultimi 24 mesi – l’entrata in vigore del GDPR ha posto un freno – determinando una decisiva inversione di rotta.

Ragioni quelle descritte per le quali diventa fondamentale adottare l’elemento contrattuale come strumento per definire i ruoli nell’ambito della fornitura del servizio, per disciplinare obblighi, responsabilità e diritti e per perimetrare con precisione quegli aspetti che più facilmente possono generare problematiche interpretative. Criticità assai frequenti nella comune pratica di business, soprattutto nel mondo delle nuove tecnologie, alimentato da una molteplice offerta di servizi esternalizzati, cloud in primis – sicuramente il canale digitale più rappresentativo nella metamorfosi dell’economia industriale e il più utilizzato nell’ecosistema aziendale odierno. Accanto agli innumerevoli benefici, primo tra tutti la capacità di azzerare distanze geografiche, vincoli temporali e di storage, l’utilizzo della nuvola informatica solleva una serie di importanti questioni da disciplinare connesse alla potenziale diminuzione del controllo dei dati da parte dell’azienda titolare, che – senza la costruzione di un perimetro di tutela di dati ed informazioni efficace – potrebbe non essere in grado di verificare la corretta gestione degli stessi, l’esatta localizzazione dei server, o l’adozione ed il rispetto delle misure di sicurezza da parte del fornitore. Elementi quest’ultimi che tradotti nel contratto garantiscono un approccio orientato alla massima garanzia.

Come anticipato, focalizzando l’attenzione sulla privacy, nella sua specifica declinazione di data protection, si deve evidenziare che il contratto gode di un rinnovato rilievo quale strumento principale per disciplinare le dinamiche del trattamento dei dati. L’art. 28 del GDPR sancisce infatti come il rapporto tra Titolare del trattamento e Responsabile del trattamento – soggetti potenzialmente riferibili al Committente e al Fornitore – debba trovare primaria regolamentazione all0interno proprio del contratto.

Alla luce di ciò, quali sono dunque gli argomenti privacy che hanno maggiore rilevanza o registrano un impatto diretto sul mondo dei contratti ICT? Tralasciando la normativa civilistica applicata all’ambito informatico, merita soffermarsi su alcuni temi centrali, quali gli obblighi e adempimenti riferibili a  terzi o fornitori, il trasferimento dei dati  personali verso Paesi extra UE e i relativi strumenti di garanzia (ad es. clausole contrattuali standard o Binding Corporate Rules), il principio della Privacy by Design .

Rispetto al primo punto, parlare delle dinamiche del rapporto con i fornitori non può prescindere dalla precedente attività di selezione che – sebbene non sia vincolata da una specifica modalità prevista dal Legislatore – è strettamente correlata al principio di accountability e alle valutazioni da parte del Titolare. La verifica della sussistenza di una governance della tematica privacy, di procedure specifiche, quali ad esempio la comunicazione del data breach o un piano di continuità operativa e di disaster recovery rispetto al servizio erogato, parimenti alla attestazione dell’effettiva formazione del personale e alla verifica delle misure di sicurezza fisica e logica dei sistemi, sono solo alcuni degli aspetti necessari per dare avvio ad un rapporto di fornitura che renda il Titolare certo di aver attuato un effettivo controllo: è infatti proprio il Titolare – sempre in base all’art. 28 GDPR – il soggetto deputato a valutare l’adeguatezza del Responsabile a cui andrà ad affidare il trattamento di dati.

Il tema del trasferimento dati – trattato dal GDPR dal Capo V Art. 44 – è un ulteriore punto sul quale il Titolare, già dalla fase di selezione del Fornitore, deve porre l’attenzione, accertandosi che questi fornisca le opportune garanzie di legge e sia allineato alle normative in materia. A dispetto di quel che si potrebbe pensare, la questione risulta tutt’altro che banale. La definizione di trasferimento infatti non fa riferimento solo a quello da un Paese comunitario ad uno extra-comunitario, ma comprende anche il trasferimento successivo di dati personali da un paese terzo non appartenente all’Unione Europea verso un altro paese terzo. A quanto detto si aggiunga inoltre che mentre il Titolare è sottoposto alla normativa europea, e quindi vincolato agli obblighi che derivano dal GDPR, il Fornitore extra-europeo non sempre è preparato ed allineato sul tema.

Lo strumento di garanzia del trasferimento di più immediata applicazione è sicuramente quello delle decisioni di adeguatezza: ove un Paese extracomunitario presenti un livello adeguato in materia di protezione dei dati personali, la Commissione può riconoscere tale Paese come “destinazione sicura” per il trasferimento di dati.

Laddove non sussistano decisioni di adeguatezza, lo strumento più comune è rappresentato dalle clausole contrattuali standard, secondo le versioni adottate dalla Commissione Europea. Il contenuto delle clausole contrattuali standard è immodificabile, e prevede idonee misure tecniche ed organizzative a tutela dei dati personali, adeguati livelli di sicurezza e procedure disciplinanti l’eventuale intervento di terze parti (a tale scopo è necessario richiamare l’attenzione su quanto definito dal paragrafo dedicato ai rapporti di sub fornitura).

Un ulteriore strumento di garanzia che trova espressione concreta nel contratto è quello delle Binding Corporate Rules (BCR) definite come “un documento contenente una serie di clausole che fissano i principi vincolanti al cui rispetto sono tenute tutte le società appartenenti ad un unico gruppo di impresa”. Si tratta di un documento contrattuale vincolante per le diverse società appartenenti al medesimo gruppo. Sebbene non goda di forza di legge, il suo contenuto viene direttamente approvato dalle Autorità di controllo competenti rispetto al Titolare che presenta la richiesta. Le BCR costituiscono non solo la privacy policy del gruppo di impresa rispetto al tema dei trasferimenti all’estero dei dati personali ma, potrebbero – come di fatto avviene – essere elevate a strumento di policy riguardante i trattamenti generalmente intesi effettuati dall’impresa stessa.

Dopo aver analizzato alcune questioni di natura organizzativa merita soffermarsi su un aspetto tecnico che nel contratto- trova un efficace strumento per tracciare con precisione il confine delle responsabilità giuridiche delle parti. Si tratta del principio della privacy by design che grava sul Titolare vincolato, sin dall’acquisto o dalla commissione di sviluppo di un software/servizio, dall’obbligo di valutare le misure che intenderà adottare, valutando anche che il Fornitore possa garantire la possibilità di settare le differenti funzioni.

Il contratto rappresenta dunque lo strumento per bilanciare ruoli e responsabilità e per tradurre al meglio la cooperazione tra le parti necessaria per rispettare appieno questo principio, tra i pilastri fondanti del GDPR. Con l’art. 32 il Regolamento sancisce infatti che Titolare e Responsabile, interno o esterno che sia, adottino misure tecniche ed organizzative adeguate affinché sia garantita una gestione del rischio correlato al trattamento effettuato.

Qualunque sia il settore di riferimento e la strategia di business praticata dall’azienda, quello contrattualistico risulta il più efficace strumento nella costruzione e nella gestione del flusso informativo aziendale. Redigere i nuovi accordi e rileggere i contratti in essere alla luce delle recenti evoluzioni normative sul piano privacy, traducendole operativamente è essenziale per armonizzare ed ottimizzare i processi di acquisto e di vendita.

Un passaggio fondamentale per perfezionare e portare a compimento il percorso di adeguamento che certo non si esaurisce con il traguardo del 25 maggio 2018.

Torna in cima