Amministrazioni e fornitori di servizi: una responsabilità da definire

la CNIL chiarisce gli elementi di cui tenere conto e le conseguenze giuridiche

Condividi questo articolo

Le amministrazioni spesso affidano ad un altro ente (operatore economico) la missione di soddisfare bisogni in termini di lavori, forniture o servizi, ad esempio per la gestione dei servizi extracurriculari, acqua, trasporti o parcheggi.

Per l’esecuzione di tali appalti pubblici o contratti di concessione, gli operatori economici sono tenuti a raccogliere e utilizzare dati personali che possono riguardare il personale o gli utenti del servizio pubblico: tale trattamento dei dati deve essere conforme alla normativa generale sulla protezione dei dati (GDPR) .

Il ruolo svolto da ciascun attore ha un’influenza sulla natura e sull’entità delle proprie responsabilità nei confronti dei dati. Al riguardo, la qualificazione degli attori come “titolare del trattamento”, “subappaltatore” o “contitolare del trattamento” deve avvenire quanto prima ed essere effettuata tenendo conto degli elementi di fatto e tenendo conto di ogni contesto contrattuale. In particolare, consentirà di identificare il livello di responsabilità di ciascun soggetto e di conseguenza definire le clausole relative alla protezione dei dati che devono essere inserite nel contratto (es.: tenendo conto di tutte le clausole obbligatorie previste dall’articolo 28 del GDPR in l’ipotesi in cui l’amministrazione debba essere qualificata come “titolare del trattamento” e l’operatore economico come “responsabile del trattamento”).

La qualificazione degli attori in fase di redazione del contratto è un primo passo essenziale : permette di determinare chi dovrà garantire il rispetto dei principi fondamentali del GDPR, in particolare:

l’esistenza di un obiettivo (finalità) esplicito e legittimo per ogni utilizzo dei dati ;
raccolta di dati rilevanti e non eccessivi ;
sicurezza dei dati ;
un periodo di conservazione dei dati limitato ;
corretta considerazione dei diritti delle persone .
Per supportare i professionisti nell’individuazione delle loro responsabilità, la CNIL pubblica una guida contenente il dettaglio dei criteri legali di cui tenere conto, le diverse qualifiche che possono essere utilizzate a seconda dell’oggetto dei contratti e della natura del trattamento che implicano, in quanto nonché le conseguenze da trarne in sede di redazione dei documenti contrattuali.

Sebbene questo documento non sia una guida GDPR completa per le amministrazioni e gli operatori economici a cui si rivolgono, dovrebbe consentire loro di caratterizzare meglio l’esistenza e la portata dei rispettivi obblighi in materia di protezione dei dati, per avviare in modo chiaro le procedure per rispetto del GDPR , rafforzando così la loro certezza del diritto .

Di seguito il link al documento (in francese): https://www.cnil.fr/sites/default/files/atoms/files/guide_-_la_responsabilite_des_acteurs_dans_le_cadre_de_la_commande_publique.pdf

Sezione di archivio

Piano Triennale per l’informatica

Il Piano Triennale per l’informatica nella Pubblica Amministrazione (Piano Triennale o Piano) è uno strumento essenziale per promuovere la trasformazione digitale del Paese e, in particolare, quella della Pubblica Amministrazione italiana, attraverso la declinazione della strategia in materia di digitalizzazione in indicazioni operative, quali obiettivi e risultati attesi, riconducibili all’azione amministrativa delle PA

Leggi tutto »

TAR Sicilia – Catania: divieto di accesso ai filmati della videosorveglianza

Il diritto di accesso garantito dalla legge sul procedimento amministrativo non può essere esercitato nei confronti delle immagini riprese da un impianto di videosorveglianza installato presso il parcheggio di un ospedale, atteso che l’istanza non ha ad oggetto un documento già esistente e nel possesso del soggetto intimato ma è finalizzata a promuovere la formazione di nuovi documenti destinati a contenere le informazioni richieste

Leggi tutto »