Forse a molti è sfuggita la circostanza che il GDPR, oltre ad avere avuto un pesante impatto su tutta l’organizzazione di ogni azienda, sia in termini di gestione dei sistemi informatici che di predisposizione della documentazione, allarga i propri effetti su tutta la contrattualistica di un’impresa, in particolare sui contratti con oggetto o che comunque implicano il trattamento di dati personali. E’ pertanto decisamente consigliabile per ogni imprenditore rivedere tutti gli schemi contrattuali in uso e verificare se siano necessarie opportune modifiche per adeguarsi al Regolamento Europeo. E non parliamo semplicemente dei contratti che, per loro natura e definizione, prevedono il trattamento dei dati personali ma, a ben vedere, di ogni singolo contratto dell’azienda.
 
Deve infatti tenersi presente che ogni singolo rapporto di un’azienda impone una forma di trattamento dati: iniziamo da quella minimale di un semplice contratto con un fornitore o un cliente, che implica la gestione anagrafica quantomeno dei dati identificativi aziendali e bancari, fino al contratto di lavoro che, oltre alla gestione dei dati dei dipendenti, potrebbe comportare quello di dati personali quali la religione o una opinione politica. Basti pensare alla scelta di un menù nella mensa aziendale e l’iscrizione ad un sindacato; semplici esempi di come un datore di lavoro debba predisporre forme diversificate di trattamento e protezione. Lo stesso può valere con consulenti e collaboratori quali commercialisti, consulenti del lavoro, avvocati. Non solo, quindi, semplice firma di contratto, ma attenzione al rilascio reciproco delle informazioni e dati personali da parte di entrambi i contraenti.

Se, pertanto, le aziende dovranno preoccuparsi di organizzare i propri sistemi di sicurezza e i contratti per le situazioni di gestione ordinaria, i problemi decisamente si amplificano quando si troveranno in presenza di fattispecie particolari quali, solo a titolo di esempio, i sempre più frequenti contratti di esternalizzazione di attività che, si noti bene, sono spesso proprio quelli di gestione e immagazzinamento dei dati. Il livello di attenzione e le cautele devono essere quindi maggiori. È opportuno porre in evidenza come le numerose possibili modalità di esecuzione del rapporto, ad esempio, in contratti di outsourcing e cloud, difficilmente permettano di ricorrere all’utilizzo di contratti predefiniti e, di conseguenza, è decisamente inopportuno l’utilizzo di moduli standard come poteva accadere nel caso dei contratti di locazione urbana che si acquistavano in cartoleria.

Già in una fase di trattative, pertanto, appare opportuna una valutazione della tipologia dei dati e della necessaria attività di trattamento da porre in essere. Si tratta di una delle situazioni nelle quali è opportuno l’intervento di un legale per evitare che il problema si presenti in seguito o, comunque, che possa essere gestito al meglio. Troppo spesso accade che, per la fretta e la necessità di concludere un contratto, le parti perdano di vista i successivi aspetti di esecuzione del rapporto e le possibili problematiche che possano presentarsi.

Ogni azienda dovrà poi considerare in maniera specifica la contrattualistica e le relative lettere di incarico necessarie proprio per la gestione dei dati al loro interno, considerando ruoli e rapporti delle figure incaricate. In altri termini, come del resto prevede il GDPR, le figure del Responsabile del Trattamento e del Responsabile della Sicurezza, oltre alle lettere di incarico che hanno una maggiore, se non unica, rilevanza nei rapporti esterni, dovranno sottoscrivere contratti per disciplinare mansioni e rapporti. Purtroppo si registrano situazioni in cui contratto e lettera di incarico sono contenuti in un unico documento che ben può generare problemi di interpretazione e applicazione, oltre che di operatività.

Si deve tenere presente che, ai fini di una migliore gestione dei problemi di protezione dei dati, il GDPR prevede che una segnalazione al Garante della Privacy per ogni possibile problema derivante dall’applicazione del Regolamento, possa essere effettuata da “chiunque”. Ciò vuol dire che ogni azienda o professionista deve guardarsi le spalle non solo dal singolo cliente, fornitore, dipendente, ma dovrà anche considerare la possibilità che possa essere attaccata, ad esempio, da generiche associazioni di consumatori o da diverse associazioni di categoria nonché, ipotesi oggi non certo rara, da attivisti che si occupano di quel determinato settore.