Fin dai suoi considerata iniziali, il Regolamento Europeo per la protezione dei dati personali evidenzia come l’elemento del contratto caratterizzi l’intera normativa, con profonde differenze rispetto a quella previgente di cui all’ormai profondamente stravolto D. Lgs. 196/2003 (che resta peraltro in vigore con le modifiche apportate dai D. Lgs 51 e 101 / 2018). Mentre, infatti, per la precedente disciplina era sufficiente il consenso da parte di un cliente per permettere il trattamento dati, il GDPR ha posto al centro del proprio sistema proprio questo cliente e comunque tutti gli utenti di un ente o impresa: enti e imprese dovranno adesso garantire, nello svolgimento della propria attività, una serie di diritti alle persone con cui verranno in contatto, i quali assumono così la qualifica di "Soggetti Interessati". In questo senso il GDPR parla espressamente di “Diritti degli Interessati”, ponendoli su un importante piano giuridico. Di ciò devono tenere debito conto aziende e enti che, a questo preciso fine, assumono la qualifica di Titolare del Trattamento.

• Rapporti contrattuali tra Interessati e Titolari del Trattamento

Salvo l’ipotesi in cui il consenso al trattamento dati derivi da un obbligo di legge (si pensi agli uffici finanziari o all’anagrafe), al Legislatore Europeo non è sfuggito che, in praticamente tutte le attività d'impresa, intercorre un contratto tra l'Interessato e colui che svolge un'attività. In tal senso, al numero 81 dei considerata che precedono il GDPR (peraltro con una traduzione infelice), viene previsto che dovrà essere proprio quello del contratto, o altro atto giuridico previsto dalle leggi dell’Unione, a disciplinare le modalità del trattamento dati. Sarà quindi scelta dell’impresa, quale Titolare del Trattamento, ad optare per contratti individuali o formulati su standard e schemi, sulla base della propria struttura e delle esigenze operative. Ciò che però conta è che nel contratto siano chiaramente specificate, o comunque allegate, le informative da fornire obbligatoriamente all’interessato, per permettergli di prestare un compiuto consenso al Trattamento dei suoi dati Personali.

Ricordiamo che, a differenza della precedente disciplina per la quale bastava un generico consenso, il GDPR prevede che l’Interessato presti un consenso specifico per ogni tipologia di trattamento . Dovrà essere quindi ben specificato, ad esempio, che i dati vengono trattati da un fornitore solo a fini amministrativi e fiscali, cioè quelli previsti per legge, mentre per l’invio di materiale informativo, offerte, iscrizione a mailing list, dovrà essere specificato il consenso per ciascuna attività in forma chiara. Ergo non basterà più una sola firma o un solo click. Il Titolare dovrà inoltre, in caso di richiesta, fornire la prova di avere ottenuto legalmente ogni singolo consenso.

• Rapporti contrattuali tra Titolari del Trattamento e DPO

Se questa è solo una breve panoramica per quanto attiene ai rapporti con i clienti / utenti – interessati, il Titolare dovrà fare i conti anche con fornitori, utenti, consulenti e, in particolare, laddove decidesse di nominarlo, con il DPO, vale a dire il Data Protection Officer o Responsabile della Sicurezza dei dati. Si tratta di una figura introdotta dalla nuova disciplina la quale, pur non definendone in maniera esaustiva i requisiti, specifica che comunque il DPO deve disporre di sufficienti competenze tecniche e legali per poter svolgere i delicati compiti di controllo, vigilanza, informazione e, non ultimo, quello di mantenere i rapporti con le autorità garanti nei singoli Stati.

Laddove il DPO non sia un dipendente del Titolare (scelta peraltro poco felice e non consigliabile), il suo incarico dovrà a maggior ragione discendere da un contratto che disciplini il rapporto stesso. A detto contratto si ritiene opportuno venga affiancata una nomina per i fini, sempre previsti dal GDPR, ai fini di pubblicità e conoscibilità della figura che deve mantenere i rapporti con l’esterno. Allo stesso modo sarà ancora un contratto a disciplinare i rapporti tra il Titolare e il Responsabile della sicurezza, altra figura da non confondere con il Titolare del Trattamento