GUARDA QUIhttps://www.accademiaitalianaprivacy.it/assets/images/immagineFB.jpg

Dettaglio news
GDPR – Tra contratti e lettere di incarico


lunedì 29 luglio 2019
Avv. Gianni Dell’Aiuto





Il GDPR prevede espressamente, all’articolo 38, che il responsabile del Trattamento possa svolgere il proprio incarico solo in forza di un contratto, o altro atto giuridico equipollente, nel quale devono essere disciplinati tutti gli aspetti relativi all’attività da svolgere. Si trova nel prosieguo dell’articolo una serie puntuale di indicazioni e dettagli che devono essere contenuti nel corpo dell’accordo. Le previsioni del GDPR hanno portato all’abrogazione delle figure presenti nel D. Lgs. 196/2003, generando non poche perplessità tra gli stessi operatori e, ancor più, nei responsabili di aziende esterne, specialmente laddove si pensi che per un informatico, la padronanza del “legalese” è talvolta scarsa. Occorre pertanto cercare di fare un po’ di chiarezza su come muoversi nelle diverse tipologie di contratti e nelle lettere di incarico.

Tutto ciò deriva anche dalla pessima abitudine di molte aziende, in qualsiasi settore, di ritenere il contratto concluso con l’accettazione del preventivo. Il che è assolutamente vero, ma in un preventivo praticamente mai si trovano inseriti i dettagli che disciplinano un rapporto contrattuale, con conseguenze che possono facilmente portare gravi lacune, difformità di interpretazioni, contenziosi che si risolvono solo in sede giudiziaria con costi spesso enormi non solo in termini di spese legali.

Nella fattispecie del GDPR è la norma stessa a pretendere l’esistenza di un rapporto contrattuale tra le parti a tutela non solo di entrambe, nonché degli Interessati. Premesso in ogni caso che il responsabile del trattamento ben può essere una figura interna alla struttura, sempre purché disponga delle competenze necessarie per l’esecuzione dell’incarico, le ipotesi più frequenti sono quelle in cui l’incarico è svolto da aziende esterne e, in tale caso, la mancanza di un contratto scritto ben potrebbe ingenerare confusione su una figura che già muove dalla pessima traduzione in lingua italiana dell’originale e ben più efficace definizione originaria del GDPR di Data Processor.

Preso atto anche della prassi, specialmente di molte aziende informatiche, di predisporre loro stesse le lettere di incarico che vengono sottoposte al cliente, ricordiamo che anche queste non sembra vadano a risolvere il problema, in quanto non solo possono escludere alcune attività, ma anche perché difficilmente contengono tutti i termini contrattuali necessari ad un corretto svolgimento del rapporto quali, ad esempio, termini e condizioni di pagamento o clausole limitative di responsabilità.

Si comprende quindi che nella regolamentazione di una vicenda complessa, quale quella di una corretta applicazione del GDPR, emergono due categorie di documenti: quelli che regolano i rapporti interni tra le parti (preventivo e contratto) e quelli che hanno una rilevanza verso l’esterno e, principalmente verso gli interessati e l’Autorità Garante, ai quali ben potrebbero essere esibiti su richiesta. 

Infine deve essere tenuto presente, e qui l’assistenza del legale appare indispensabile, che è necessario avere chiara la tipologia contrattuale da utilizzare. Anche se viene quasi sempre usata nel linguaggio quotidiano l’espressione contratto di appalto, oggi non solo è sempre più usata la tipologia del contratto SAAS (Software As A Service), ma anche altre figure previste nel nostro ordinamento ben possono essere utilizzate dalle aziende.




CONDIVIDI QUESTA PAGINA!