Le amministrazioni spesso affidano ad un altro ente (operatore economico) la missione di soddisfare bisogni in termini di lavori, forniture o servizi, ad esempio per la gestione dei servizi extracurriculari, acqua, trasporti o parcheggi.
Per l’esecuzione di tali appalti pubblici o contratti di concessione, gli operatori economici sono tenuti a raccogliere e utilizzare dati personali che possono riguardare il personale o gli utenti del servizio pubblico: tale trattamento dei dati deve essere conforme alla normativa generale sulla protezione dei dati (GDPR) .
Il ruolo svolto da ciascun attore ha un’influenza sulla natura e sull’entità delle proprie responsabilità nei confronti dei dati. Al riguardo, la qualificazione degli attori come “titolare del trattamento”, “subappaltatore” o “contitolare del trattamento” deve avvenire quanto prima ed essere effettuata tenendo conto degli elementi di fatto e tenendo conto di ogni contesto contrattuale. In particolare, consentirà di identificare il livello di responsabilità di ciascun soggetto e di conseguenza definire le clausole relative alla protezione dei dati che devono essere inserite nel contratto (es.: tenendo conto di tutte le clausole obbligatorie previste dall’articolo 28 del GDPR in l’ipotesi in cui l’amministrazione debba essere qualificata come “titolare del trattamento” e l’operatore economico come “responsabile del trattamento”).
La qualificazione degli attori in fase di redazione del contratto è un primo passo essenziale : permette di determinare chi dovrà garantire il rispetto dei principi fondamentali del GDPR, in particolare:
l’esistenza di un obiettivo (finalità) esplicito e legittimo per ogni utilizzo dei dati ;
raccolta di dati rilevanti e non eccessivi ;
sicurezza dei dati ;
un periodo di conservazione dei dati limitato ;
corretta considerazione dei diritti delle persone .
Per supportare i professionisti nell’individuazione delle loro responsabilità, la CNIL pubblica una guida contenente il dettaglio dei criteri legali di cui tenere conto, le diverse qualifiche che possono essere utilizzate a seconda dell’oggetto dei contratti e della natura del trattamento che implicano, in quanto nonché le conseguenze da trarne in sede di redazione dei documenti contrattuali.
Sebbene questo documento non sia una guida GDPR completa per le amministrazioni e gli operatori economici a cui si rivolgono, dovrebbe consentire loro di caratterizzare meglio l’esistenza e la portata dei rispettivi obblighi in materia di protezione dei dati, per avviare in modo chiaro le procedure per rispetto del GDPR , rafforzando così la loro certezza del diritto .
Di seguito il link al documento (in francese): https://www.cnil.fr/sites/default/files/atoms/files/guide_-_la_responsabilite_des_acteurs_dans_le_cadre_de_la_commande_publique.pdf