Il trattamento dei dati personali nella gestione dei contratti IT.

Viste:

• la crescente attenzione delle organizzazioni sui profili di rilevanza legale prima di esternalizzare i servizi IT;
• la necessità di dovere garantire la compliance dei contratti IT, alla normativa sotto elencata.

Ricordata la vigente normativa di settore, in primis:

• Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) – GDPR, (link: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=celex%3A32016R0679 )
• CODICE APPALTI – D.LGS. 36/2023, (link: https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2023-03-31;36 )
• Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR; (link: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_it )
• Decisione di esecuzione (UE) 2021/915 della Commissione del 4 giugno 2021 relativa alle clausole contrattuali tipo tra titolari del trattamento e responsabilità del trattamento a norma dell’articolo 28, paragrafo 7, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio e dell’articolo 29, paragrafo 7, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (link:https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32021D0915 )
• AGID – La sicurezza nel procurement Ict[1]:
• Data act: riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo e che modifica il regolamento (UE) 2017/2394 e la direttiva (UE) 2020/1828 (regolamento sui dati)[2]
• Il report finale dello “Standard Tecnico di Regolamentazione” (RTS),del 17.1.2024, con il quale le Autorità di Vigilanza europee (EBA, ESMA, EIOPA, nel complesso le c.d. “ESAs”) hanno pubblicato titolato: “Specificare il contenuto dettagliato della politica relativa agli accordi contrattuali sull’uso dei servizi ICT che supportano funzioni critiche o importanti fornite da terzi service provider ICT, come prescritto dal Regolamento (UE) 2022/2554”, noto anche come Regolamento DORA.[3] Considerato che tipicamente i contratti per la fornitura di IT prevedono che vengano disciplinati i seguenti istituti:

• nei confronti del fornitore:
• Terms of Service (“ToS”) o Master Service Agreement (“MSA”): I termini di servizio (oppure “termini e condizioni“) sono un contratto tra una parte, solitamente un service provider e un cliente di tale servizio, che è tenuto ad accettarli per poterne usufruire. l suo uso si applica in ogni ambito di fornitura di generici servizi, ma è diventato particolarmente rilevante nell’ambito dei servizi informatici. Usualmente un contratto dei termini di servizio include:
• Un glossario per definire in maniera univoca e senza ambiguità ogni termine chiave;
• I diritti dell’utente finale (definizione dell’uso “tipico” del prodotto e di uso “sbagliato”, l’uso dei dati personali e le privacy policy, i dettagli dei metodi di pagamento, le modalità per disdire il servizio) e del fornitore del servizio;
• Un disclaimer, ovvero l’esonero di responsabilità in caso di danni all’utente finale per un errato utilizzo;
• L’avvertimento dell’utente finale riguardo a eventuali modifiche del contratto.

Le disposizioni contrattuali relative alle leggi applicabili e alla giurisdizione per un determinato servizio e i relativi obblighi sono tipicamente reperibili nei Terms of Service (ToS)/Master Service Agreement (MSA)

(Un caso particolare dei termini di servizio è costituito dal contratto EULA, trattasi di un accordo legale tra lo sviluppatore del software e l’utente finale di un prodotto software. Descrive i termini e condizioni in base ai quali il software può essere utilizzato, nonché le eventuali restrizioni d’uso previste.)

• Service Level Agreement (“SLA”) I service level agreement, sono strumenti contrattuali attraverso i quali si definiscono le metriche di servizio che devono essere rispettate da un fornitore di servizi nei confronti dei propri clienti/utenti. Di fatto, una volta stipulato il contratto, assumono il significato di obblighi contrattuali.
• Privacy Level Agreement (“PLA”) I PLA sono accordi che riguardano la gestione dei dati personali e la protezione della privacy. Essi stabiliscono gli standard e le pratiche per garantire un adeguato livello di privacy e sicurezza dei dati personali.

• nei confronti dei dipendenti:
• Acceptable Use Policy (“AUP”) Una policy di utilizzo accettabile è un insieme di regole che indicano cosa gli utenti finali (i.e., i dipendenti dell’azienda/ente) possono o non possono fare con la tecnologia e i dati aziendali. In genere richiede una qualche forma di riconoscimento da parte dei dipendenti che comprendono adeguatamente le regole prima di essere ufficialmente registrati nei sistemi aziendali.

Adempimenti legati all’applicazione del GDPR.

Il GDPR si applica – indipendentemente dagli accordi tra le parti – a qualsiasi trattamento di dati personali effettuato nel contesto delle attività di un titolare del trattamento (ad esempio, un cliente di servizi IT) o di un responsabile (es. fornitore di servizi IT) all’interno dell’Unione Europea.

Per ciascun contratto IT, compresi gli acquisti di device medici il cui utilizzo comporta il trattamento dei dati personali, si ravvisa, quindi, la necessità di accertare la realizzazione dei seguenti adempimenti:

1. Esistenza e adeguatezza di un Accordo per il Trattamento dei Dati Personali (in cui vanno identificati chiaramente compiti e obblighi del fornitore di servizi).

2. Accertare che siano oggetto di disciplina le garanzie di trasparenza e controllo per l’azienda/ente[4] (cliente) sui flussi di dati personali (circolazione/trasferimento dei dati personali); ciò per due ordini di motivi:

2.1 COMPLIANCE: garantire cioè che in capo all’azienda/ente (che agisce come titolare del trattamento) permanga un sufficiente potere di controllo sul trattamento dei dati personali che il fornitore (in qualità di responsabile del trattamento) pone in essere per erogare i propri servizi;

2.2 RESPONSABILITÀ INTERNA: essere in grado di dimostrare, da un punto di vista interno, che le esigenze di protezione e controllo sui dati personali sono state prese in debita considerazione al momento della scelta del fornitore, che dunque offre garanzie sufficienti in tal senso. (Principio di accountability).

3. Riguardo alla definizione del Perimetro delle responsabilità, si forniscono le seguenti raccomandazioni:

3.1 Selezionare un fornitore di servizi che sia in grado di garantire – e dimostrare – un’adeguata compliance al GDPR;

3.2 Allocare chiaramente i ruoli privacy tra le parti, e attribuire precisamente compiti e obbligazioni in relazione ai dati personali trattati nell’ambito dei servizi contrattualizzati.

4. Vincolare il fornitore di servizi, se agisce come responsabile del trattamento, a uno specifico Accordo sul Trattamento dei Dati Personali, nel rispetto dei requisiti di cui all’art. 28 GDPR, e in particolare:

• Regolamentare l’eventuale impiego di sub-fornitori, prevedendo una previa autorizzazione scritta, specifica o generale, della azienda/ente;
• Imporre al fornitore di riverberare sulla propria catena di sub-fornitura I medesimi obblighi concordati con l’azienda/ente, e prevedere che il fornitore rimanga integralmente responsabile nei confronti del cliente per le attività poste in essere dai propri sub-fornitori (“subresponsabili”);

4.3 Evitare, per quanto possibile, fornitori di servizi che impiegano una catena di sub-fornitura complessa da monitorare (inclusa l’eventuale presenza di sub-responsabili situati extra SEE);

4.4 Regolare espressamente e in via preventiva l’eventuale possibilità di migrare i servizi e/o trasferire i dati.

5. In merito alla possibilità di inserire nel contratto variazioni e/o modifiche contrattuali, si forniscono le seguenti raccomandazioni:

• Regolare la possibilità di modificare i servizi forniti, a quali condizioni e le relative modalità;
• Specificare se le parti possono cedere la loro posizione contrattuale, in tutto o in parte, e a quali condizioni;
• Escludere espressamente le modifiche che possano pregiudicare in modo sostanziale i livelli di servizio concordati o la protezione dei dati personali, soprattutto se il servizio è fondamentale per il contesto organizzativo della titolare del trattamento;Prevedere una previa notifica all’azienda/ente per qualsiasi modifica ai termini contrattuali;Subordinare l’effettiva applicazione di eventuali modifiche alla previa accettazione scritta dalla ASL di Pescara;
• Garantire al titolare del trattamento la possibilità di recedere dal contratto in caso di modifiche rilevanti e/o potenzialmente pregiudizievoli rispetto al servizio fornito

6. Riguardo alla disciplina della Riservatezza & aspetti IP, si forniscono le seguenti raccomandazioni:

• Per preservare la riservatezza del know-how e di altre informazioni confidenziali (ad esempio, risultati di ricerca, informazioni relative a clienti e/o a progetti), la azienda/ente e i fornitori di servizi devono concordare specifiche clausole di riservatezza (NDA[5]);
• I mezzi tecnici utilizzati dal fornitore di servizi per trasferire, conservare, elaborare, accedere e/o proteggere le informazioni devono essere dettagliati (tipicamente in allegati tecnici o SLA);
• Particolare attenzione deve essere riservata ai limiti di responsabilità di ciascuna parte relativamente alle informazioni confidenziali;
• Ove applicabile, opere coperte da copyright e/o creazioni brevettabili possono essere a rischio. I leaks che coinvolgono questo tipo di informazioni (sia dolose che causate da violazioni di sicurezza) possono causare danni irreparabili al titolare del trattamento;
• Ove applicabile, per alcuni servizi, le interazioni tra l’azienda/ente e il fornitore di servizi possono portare alla creazione congiunta di opere/beni protetti dai diritti di proprietà intellettuale (ad esempio, tecniche per gestire/analizzare meglio i dati). La proprietà intellettuale, i diritti d’uso di tali opere/beni e altri aspetti correlati devono essere definiti in anticipo attraverso clausole contrattuali dedicate.

7. Riguardo alla disciplina del diritto alla Portabilità, si forniscono le seguenti raccomandazioni:

7.1  Il titolare del trattamento dovrebbe verificare se i fornitori di servizi garantiscono la portabilità dei dati e, in caso affermativo, a quali condizioni;

7.2  Sarebbe opportuno o comunque preferibile che la portabilità venga offerta mediante la possibilità di utilizzare formati/interfacce standard che facilitino l’interoperabilità (consentendo il riutilizzo dei dati con altri servizi).

8. Riguardo alla disciplina della cessazione del contratto, si forniscono le seguenti raccomandazioni:

8.1 Le procedure e le modalità per concludere il rapporto contrattuale devono essere chiaramente identificate nei ToS/MSA[6];

• Un buon set contrattuale dovrebbe contenere previsioni volte a regolare il periodo di tempo durante il quale l’azienda/ente può recuperare una copia dei dati trattati (per proprio conto) dal fornitore di servizi successivamente alla cessazione del contratto;
• Dovrebbero essere descritti anche i periodi di conservazione dei dati da parte del fornitore di servizi (dopo la cessazione del contratto), nonché le procedure seguite dal fornitore stesso per restituire/trasferire i dati personali l’azienda/ente o per consentire a quest’ultima di migrare presso un altro fornitore (= portabilità).

9. Riguardo alla disciplina dei Service Level Agreement (SLA) e Privacy Level Agreement (PLA), si forniscono le seguenti raccomandazioni:

• Il titolare del trattamento dovrebbe leggere e analizzare attentamente gli SLA dei fornitori di servizi, per assicurarsi che siano adeguati alle proprie esigenze;
• l’azienda/ente dovrebbe inoltre verificare se i ToS/MSA dei fornitori di servizi stabiliscono rimedi in caso di violazione dei livelli di servizio concordati (compresi, ad esempio, crediti di servizio, rimborsi o compensazioni monetarie);
• I PLA si svilupperanno sempre di più per comunicare il livello di conformità privacy che i fornitori di servizi possono garantire e – soprattutto – come possono dimostrarlo

Si evince, pertanto, come necessaria una collaborazione tra le varie funzioni aziendali, a partire dai Sistemi Informativi. all’Ufficio Privacy, agli Affari Generali e Legali e, di volta in volta, le altre funzioni interessate, al fine di consentire al titolare del trattamento di approcciare suddetti adempimenti con la giusta postura richiesta dalla estrema complessità della materia.

---

[1] Il documento fornisce indicazioni alle PA e ai fornitori per garantire che beni e servizi informatici acquistati dai soggetti pubblici nell’ambito di gare d’appalto o contratti quadro rispondano ad adeguati livelli di sicurezza; ed è stato elaborato da un tavolo di lavoro promosso dal Nucleo per la Sicurezza Cibernetica (NSC) del Dipartimento Informazioni per la Sicurezza presso la Presidenza del Consiglio dei Ministri, di cui ha fatto parte anche AgID insieme ad altre amministrazioni centrali. Le Linee Guida si rivolgono alle pubbliche amministrazioni e agli operatori di mercato.  Forniscono indicazioni per garantire che beni e servizi informatici acquistati dalle PA nell’ambito di gare d’appalto o specifici accordi quadro rispondano ad adeguati livelli di sicurezza. link: https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2020/05/20/sicurezza-procurement-ict-online-linee-guida

[2] Il regolamento europeo sui dati entrato in vigore l’11 gennaio 2024 è finalizzato a migliorare l’accesso ai dati nel mercato dell’UE per i cittadini e le imprese. Negli ultimi anni l’Internet delle cose ha contribuito alla rapida crescita della quantità di dati. Il nuovo regolamento promuoverà l’uso dei dati e ne garantirà la condivisione, la conservazione e il trattamento nel pieno rispetto delle norme europee. 

Per quanto di stretto interesse in questa sede si riportano i seguenti esempi: 

nuove opportunità di utilizzare servizi basati sull’accesso ai dati. Se possiedi macchinari di fabbricanti diversi, ora potrai ricevere una consulenza personalizzata da un’impresa che raccoglierà dati dai vari macchinari. Finora i dati di ciascun macchinario erano bloccati dal fabbricante. Ciò potrebbe rivelarsi utile a casa: potresti ad esempio collegare il termostato con i tuoi capanni da giardino; 

migliore accesso ai dati raccolti o prodotti da un dispositivo. Il tuo barista di fiducia vuole servire un caffè ancora più buono, e il fabbricante della macchina da caffè intende migliorare il proprio prodotto. In passato, il fabbricante poteva accedere ai dati prodotti dalla macchina per progettare la seguente generazione di macchine da caffè, mentre il barista non aveva accesso a informazioni come la temperatura dell’acqua. Il nuovo regolamento chiarisce che entrambe le parti possono accedere a tutti i dati raccolti dalla macchina. link: https://www.europarl.europa.eu/doceo/document/A-9-2023-0031-AM-027-027_IT.pdf

[3] Nell’era digitale le tecnologie dell’informazione e della comunicazione (TIC) sostengono sistemi complessi impiegati nelle attività quotidiane. Mantengono in funzione i principali settori delle nostre economie, tra cui il settore finanziario, e migliorano il funzionamento del mercato interno. Il crescente grado di digitalizzazione e interconnessione amplifica d’altra parte i rischi informatici, rendendo l’intera società, e in particolare il sistema finanziario, più vulnerabile alle minacce informatiche o alle perturbazioni delle TIC. L’uso onnipresente dei sistemi di TIC e l’elevata digitalizzazione e connettività sono oggi caratteristiche fondamentali delle attività delle entità finanziarie dell’Unione, ma la loro resilienza digitale deve ancora essere affrontata e integrata in maniera più efficace nei loro quadri operativi di portata più ampia. (2) Negli ultimi decenni, l’uso delle TIC ha conquistato un ruolo essenziale nella fornitura di servizi finanziari, al punto da acquisire oggi un’importanza critica nell’esecuzione delle consuete funzioni quotidiane di tutte le entità finanziarie. Ora la digitalizzazione riguarda ad esempio i pagamenti, che stanno progressivamente migrando dal contante e dal cartaceo verso soluzioni digitali, nonché la compensazione e il regolamento dei titoli, la negoziazione elettronica e algoritmica, le operazioni di prestito e finanziamento, la finanza tra pari (peer–to–peer finance), i rating del credito, la gestione dei crediti e le operazioni di back-office. Anche il settore assicurativo è stato trasformato dall’uso delle TIC, dall’emergere di intermediari assicurativi che offrono i loro servizi online e che operano con InsurTech fino alla sottoscrizione di assicurazioni digitali. Non solo l’intero settore finanziario è diventato in larga misura digitale, ma la digitalizzazione ha anche reso più marcate le interconnessioni e le dipendenze all’interno del settore e nei confronti di fornitori terzi di infrastrutture e servizi. link: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32022R2554

[4] Di seguito, le espressioni “azienda/ente” e “titolare del trattamento” presenti nel testo sono da considerarsi alla stregua di sinoimi.

[5] Con NDA si intende Non Disclosure Agreement, ovvero un accordo di riservatezza che si mantiene per tutto il tempo previsto dall’NDA stessa.

Si tratta di atti che vengono sottoscritti per proteggere e tutelare le informazioni riservate che possono essere scambiate durante vari tipi di collaborazione come rapporti commerciali, ricerca di finanziatori, consulenze sensibili legate ad attività bancarie e finanziarie, analisi di deposito e brevetto, studi di fattibilità, consulenze a progetto in settori con numerosi concorrenti, etc… Tipicamente queste informazioni sono:

brevetti e marchi non ancora registrati; piani aziendali (business plan, piani di marketing, piani di rientro, etc..); know how aziendale; risultati di attività di ricerca e sviluppo; negoziazioni o trattative di vario genere. L’NDA può essere unilaterale o bilaterale, o plurilaterale. Con unilaterale intendiamo che l’impegno di riservatezza è previsto solo da una realtà verso un’altra e non viceversa. Bilaterale comporta che l’impegno di non diffusione è reciproco. Plurilaterale allarga l’assunzione di responsabilità a terze parti che dovessero essere coinvolte dalle firmatarie. L’accordo definisce tendenzialmente che tutte le informazioni confidenziali di cui si può venire a conoscenza durante il periodo di una determinata attività, sono da considerarsi riservate e non divulgabili, pena una sanzione concordata. Con divulgazione si intende la comunicazione dei dati tutelati anche ad un numero ristretto di soggetti, pari anche ad uno soltanto. Ipotizziamo per esempio che un’azienda assuma un temporary manager molto rinomato all’interno di un determinato settore. È possibile che questa figura, in tempi diversi, possa lavorare per aziende concorrenti. La firma dell’NDA stabilisce che tutte le informazioni confidenziali legate all’azienda debbano restare tali per un periodo ben determinato di tempo.

[6] Il Master Service Agreement (MSA) e i Termini di servizio (ToS) sono due documenti legali distinti che servono a scopi diversi e vengono utilizzati in contesti aziendali diversi. Sebbene possano condividere alcune somiglianze nello scopo di stabilire termini e condizioni contrattuali, sono fondamentalmente diversi nella loro portata, nelle parti coinvolte e nell’applicazione. I termini di servizio e il contratto di servizio generale non sono la stessa cosa, sebbene siano strettamente correlati. I termini di servizio, noti anche come termini e condizioni, sono un insieme di regole e linee guida che regolano il rapporto tra un’azienda e i suoi clienti. Questi termini delineano i diritti e le responsabilità di entrambe le parti, inclusi i termini di pagamento, le politiche di utilizzo e i diritti di proprietà intellettuale.