Il GDPR mette le imprese con le spalle al muro: il fornitore non può difendersi dicendo di essersi limitato a eseguire le istruzioni del committente; il committente non può salvarsi dicendo di essersi affidato a un fornitore esperto. Ci sono obblighi relativi al trattamento dei dati previsti dal GDPR per la stesura dei contratti.
Quanto al primo profilo (efficacia delle istruzioni) il committente deve scegliere il più bravo fornitore possibile, tanto bravo da essere capace di contestare le istruzioni ricevute.
È quanto pretende il GDPR (articolo 28, paragrafo 3, ultimo comma), in base al quale il fornitore deve informare immediatamente il committente qualora, a suo parere, un'istruzione di quest'ultimo violi le norme sulla privacy.
Il fornitore può trovarsi, nella vita concreta di tutti i giorni, nella difficilissima situazione di contestare quanto richiesto dal committente (con il rischio di perdere la fornitura o, comunque, di entrare in contenzioso) o di non sollevare il problema con il committente (con il rischio di dover rispondere al Garante che gli contesterà una sanzione amministrativa).
GDPR, a doppia lama
Anche sotto il secondo profilo (qualità del fornitore), il GDPR è a doppia lama. Il Gdpr impone al committente di ricorrere unicamente a fornitori che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a rispettare le norme sulla privacy e a garantire i diritti degli interessati. Così, anche il committente si trova di fronte a un dilemma: per sostenere che è tutta colpa del fornitore deve essere disposto a rischiare la sanzione amministrativa per violazione della regola del GDPR sulla scelta del fornitore.
Nei contratti di fornitura di servizi obbligatorio dilungarsi sugli aspetti riguardanti la privacy. Bisogna spiegare, dettagliatamente e analiticamente, quali sono gli obblighi assunti dal committente e quelli a carico del fornitore: sia a riguardo del trattamento delle informazioni, sia dei requisiti di sicurezza da rispettare.
Il regolamento Ue sulla privacy 2016/679 (Gdpr) ha scompigliato i contratti di fornitura di servizi: ogni possibile inadempimento contrattuale rischia di essere un inadempimento privacy (con l'applicazione di sanzioni amministrative) e, viceversa, ogni inadempimento privacy rischia di diventare un inadempimento contrattuale (con possibilità di risoluzione del contratto e pagamento dei danni).
L'eccellente scrittura dei contratti è, dunque, la tecnica da usare per diminuire il rischio di sanzioni amministrative o di contenziosi civili. (Per approfondimenti vedasi l’articolo “Contratti di fornitura di servizi a regola d'arte sugli aspetti riguardanti la privacy per evitare il rischio di sanzioni e contenziosi”.
(Articolo di Antonio Ciccia Messina)
maggiori informazioni su:
www.federprivacy.org
Necessità e approcci per l'innovazione nelle infrastrutture critiche della città futura
Tecnologia, applicazioni reali, impatto privacy, intelligenza artificiale
Corsi in programmazione riconosciuti per il mantenimento e la preparazione alla certificazione TÜV Italia
WebinarLa cybersicurezza dei sistemi di videosorveglianza
Corso riconosciuto da TÜV Italia