Outsourcing ICT: la gestione privacy nel subappalto

di Anna Fabi

29 Maggio 2015 15:36

Gestione privacy nell'outsourcing ICT e responsabilità del subappaltatore quando venga a trattare dati personali riconducibili al committente: analisi dell'Avv. Emiliano Vitelli.

Nel mercato ICT, data la necessità di soggetti sempre più specializzati, ormai da tempo si sta assistendo ad un ricorso massiccio alla figura dell’appalto o, come oggi si preferisce chiamarlo, dell’outsourcing.  Le ragioni di tale fenomeno risiedono non soltanto nella possibilità di una riduzione dei costi ma anche, soprattutto nel settore della sicurezza delle informazioni, in una migliore gestione del rischio Sotto questo profilo un nuovo slancio al diffondersi di questa tipologia di contratto lo sta dando il ricorso al cloud. La possibilità di spostare parte delle propria infrastruttura informatica (a seconda dei tipo di cloud che si utilizza: SaaS, IaaS, PaaS) o dei processi informativi su grandi data center permette di garantire tutta una serie di performance e misure di sicurezza che spesso le piccole e medie imprese non sono in grado di affrontare attraverso una gestione in house.

=> Outsourcing: novità e approfondimenti

 Tale fenomeno ha comportato un’immediata ricaduta in termini di corretta gestione e trattamento delle informazione sotto il profilo della tutela dei dati personali. D’altra parte il Garante Privacy, proprio per tali ragioni, già qualche anno fa ha pubblicato un vademecum in materia di cloud e tutela dei dati personali. A tale documentazione di alto profilo,  vale al pena richiamare anche la pubblicazione Clusit che affronta in maniera approfondita le questioni relative al cloud ed alla privacy.

Quadro normativo

Più in generale, in tema di appalto il Garante Privacy è spesso intervenuto con propri provvedimenti precisando e sottolineando (senza qui affrontare il caso in cui il processo aziendalistico viene esternalizzato all’estero) che in presenza di un contratto di outsourcing, l’appaltatore deve essere nominato responsabile del trattamento. Spesso si parla in questo caso di nomina del responsabile esterno al trattamento.

=> Linee Guida per il Cloud nelle PMI

I provvedimenti in tale ambito sono molteplici e non sono mancate pronunce in cui, a seguito dell’attività ispettiva del Nucleo Speciale Privacy della Guardia di Finanza sono state emesse sanzioni anche pensanti per non aver proceduto alla corretta gestione dell’appalto e del subappalto sotto il profilo della tutela dei dati personali (cfr. Provv. 12 maggio 2011, doc web n. 1813953; Provv. 24 gennaio 2003, doc. web n. 1067875; Provv. 16 febbraio 2006, doc. web n. 1242592; in questo senso, v. anche il parere del Gruppo Art. 29 sulla protezione dei dati, n. 1/2010 -WP 169, del 16 febbraio 2010)

In tale ambito particolarmente problematica presenta il subappalto; contratto a cui molto spesso si ricorre nel settore della sicurezza ICT. Sotto il profilo del trattamento dei dati personali, infatti, il subappalto comporta notevoli problemi di inquadramento che, nella pratica quotidiana, spesso inducono le aziende, non particolarmente addentro alla materia privacy, a compiere scelte che possono anche risultare rischiose.

=> Adozione dei servizi cloud e integrità dei dati

Il problema che si pone in ottica privacy infatti è quale ruolo debba ricoprire il subappaltatore quando nell’esecuzione del contratto che lo lega all’appaltatore venga a trattare dati personali riconducibili al committente (dipendenti, fornitori, partner commerciali, clienti, ecc.). Come noto, il codice privacy all’art. 29 prevede che soltanto il titolare del trattamento (nel nostro caso, il committente) abbia il potere di nominare un responsabile del trattamento (cioè l’appaltatore), senza prevedere che a sua volta questi possa nominare, per così dire, un proprio gemello (cioè un altro responsabile del trattamento).

Posto questo insormontabile ostacolo normativo si tratta di comprendere quale ruolo ricopra il subappaltatore e quali tutele possano essere poste in essere onde evitare di incorrere in sanzioni conseguenti ad un illecito trattamento dei dati personali. Nella pratica, come già accennato, spesso si assiste all’adozione delle soluzioni più disparate: sia il caso in cui si evita qualsiasi nomina, sia l’ipotesi in cui il committente che procede a nominare tutti i soggetti con cui viene in contatto (quindi sia l’appaltatore che il subappaltatore) come responsabili (esterni) al trattamento (soluzione questa che va per la maggiore).

Appare evidente che le soluzioni sopra accennate presentano non pochi rischi. L’evitare di procedere alle prescritte nomine, infatti, pone le imprese in gioco a rischio di accertamenti ispettivi (cfr. per esempio il prov. n. 2740948) con conseguenti possibili sanzioni e responsabilità che possono comportare anche perdite in termini patrimoniali e di immagine. D’altra parte, la soluzione adottata dalla prassi di nominare responsabile del trattamento (detto anche processor) tutti i soggetti partecipi all’appalto ed al subappalto non è scevra da ulteriori e non meno importanti pericoli. Sebbene infatti in presenza di un subappalto non nasce alcun vincolo contrattuale tra committente e subappaltatore, tuttavia un formale atto di nomina [a responsabile esterno del trattamento] mette inevitabilmente in relazione i due soggetti: da una parte il subappaltatore assumerebbe direttamente nei confronti del committente delle responsabilità che invece non gli sono proprie dovendo essere individuate in capo all’appaltatore; dall’altra il committente si troverebbe quanto meno a dover affrontare oneri aggiuntivi e vincoli contrattuali qualora l’appaltatore non rispetti i propri impegni nei confronti del subappaltatore.

In realtà già da tempo il Garante per la protezione dei dati personali ha avuto modo in alcuni suoi provvedimenti di trovare una soluzione maggiormente conforme al dettato del Codice Privacy.

Il Garante infatti ha ben chiarito con un provvedimento del 2012 (doc. web n. 2276103) che il responsabile esterno al trattamento, nominato dal committente, deve essere identificato soltanto nell’appaltatore. Sarà preoccupazione di quest’ultimo stringere gli opportuni accordi con il subappaltatore trasferendo sullo stesso, in ragione e nei limiti del suo operato, le responsabilità inerenti al suo ruolo. Il Garante, insomma, fa rientrare dalla finestra ciò che è uscito dalla porta, in quanto di fronte al divieto posto dall’art. 29 del Codice Privacy, sostanzialmente contrattualizza la figura del responsabile esterno al trattamento, suggerendo di trasferire in un accordo quegli obblighi che il d.lgs 196/203 pone a carico appunto del processor.

Schematizzando: il committente nominerebbe quale responsabile esterno al trattamento dei dati personali l’appaltatore; quest’ultimo, anziché mediante un’ulteriore nomina (perché come detto, ciò è vietato dalla norma), obbligherà, nell’ambito del contratto di subappalto, il subappaltatore a rispettare i medesimi vincoli cui l’appaltatore è soggetto in ragione della nomina ricevuta.

Soluzione che trova applicazione anche nell’ambito di una situazione particolare che spesso si verifica proprio quando un’azienda ricorra a servizi cloud o comunque quando esternalizza tutto o parte della propria infrastruttura informatica. Può capitare infatti che nell’esecuzione di un subappalto la società esecutrice venga in contatto con un’infrastruttura che tuttavia non è riconducibile al committente, bensì ad un terzo (cioè l’erogatore del servizio cloud o comunque un altro appaltatore). Ebbene anche in questo caso occorre attentamente intervenire per disciplinare i vari rapporti contrattuali tra le parti in gioco evitando complessi intrecci di reciproci vincoli e responsabilità non rispondenti alla reale situazione contrattuale e commerciale che si è inteso instaurare; la struttura, nel caso in esame, sarà necessariamente la seguente:

appalto

Come si evince dallo schema sopra riportato i rapporti contrattuali sono e rimangono ben distinti, sebbene a vario titolo tutti intervengono nell’infrastruttura del committente.

E’ bene anche precisare che sulla base della ricostruzione suggerita dal Garante e sopra schematizzata, nel caso in cui il subappaltatore ponga in essere comportamenti illeciti riconducili gli obblighi del responsabili esterno del trattamento allo stesso riconducibile e cioè l’appaltatore suo committente, quest’ultimo, in linea di principio e salvo ulteriori comportamenti non conformi alla legge, non potrà che agire a propria tutela nei confronti del solo appaltatore  il quale a sua volta agirà in rivalsa (o chiamerà in manleva) il subappaltatore autore dell’illecito.

A conclusione di questo articolo vale la pena sottolineare che l’art. 22 della bozza di regolamento generale sulla protezione dei dati, che si prevede venga approvata nel corso del 2016, sembrerebbe (l’ipotetica è d’obbligo) prevedere invece tale possibilità.

________

Avv. Emiliano Vitelli