La Commissione Europea ha presentato due documenti che aiuteranno i titolari a svolgere al meglio la loro funzione nell’ambito del trattamento corretto di dati personali.
Solitamente, coloro che trattano dati personali in qualità di titolari di un’azienda, devono fare ricorso al supporto di soggetti terzi per sviluppare attività di trattamento. Partendo dall’elaborazione di un rapporto contrattuale, i dati personali e sensibili che vengono trattati sono molti: dai dati anagrafici fino ai dati inerenti alla salute. Tutti i dati devono essere gestiti in modo appropriato, fermo restando che la responsabilità finale di un eventuale trattamento illecito di dati personali rimane sempre a carico del titolare.
In alcuni casi il titolare designa un responsabile dell’ufficio personale (o risorse umane), nei casi in cui, invece, non sia possibile, si affida a soggetti terzi come studi e commercialisti specializzati. In questo caso, i responsabili del trattamento dati sono questi “soggetti terzi”.
Come gestire il rapporto con questi enti e le responsabilità che ne derivano?
Recentemente si è verificato un cambiamento che ha portato una grossa novità in questo contesto: la commissione europea ha presentato due bozze di clausole contrattuali standard, che stabiliscono una traccia del rapporto fra il titolare e il responsabile del trattamento.
Prima bozza: il titolare ed il responsabile del trattamento si trovano entrambi nell’ambito dell’unione europea.
Il grande vantaggio della prima bozza di clausole standard contrattuali è quello di armonizzare lo sviluppo di questi contratti in tutti paesi europei, evitando approcci differenziati. Inoltre, l’adozione di clausole contrattuali standardizzate diminuisce in modo significativo l’eventuale responsabilità per comportamenti omissivi oppure negligenti da parte di soggetti coinvolti.
Seconda bozza: il responsabile del trattamento si trova in un paese esterno all’unione europea.
La seconda bozza di clausole contrattuali standardizzate si applica quando il titolare si trova all’interno dell’unione europea, mentre il responsabile del trattamento si trova in un paese terzo. In questo caso la bozza è alquanto più impegnativa, perché i dati personali, oggetto del contratto, vengono trasferiti in un paese terzo, che potrebbe non offrire adeguate garanzie di protezione dei dati stessi.
Ecco la ragione per la quale questa seconda bozza di contratto prende in considerazione tutt’una serie di garanzie di protezione dei dati, che non sono presenti nella prima bozza illustrata (dovrebbero essere già presenti, di default, per il solo fatto che il responsabile in questione si trova all’interno dell’UE).
Le bozze sono attualmente all’esame del comitato europeo per la protezione dei dati, che raccoglie tutte le autorità Garanti nazionali, i del supervisore europeo per la protezione dei dati, che tiene sotto controllo le attività di trattamento svolte dalle varie agenzie ed entità europee.
Non appena queste due bozze saranno state esaminate, ed eventualmente approvate, verranno pubblicate e messe a disposizione del popolo dei titolari.