Linea Guida – La valutazione degli impatti del GDPR nelle clausole contrattuali dei fornitori

Il Regolamento Europeo n° 679/2016, meglio conosciuto come GDPR, impone che, nei rapporti contrattuali in cui il fornitore si incarica di svolgere attività che comportano il trattamento di dati personali, debbano essere recepiti una serie di contenuti meglio specificati nell’art.28 del GDPR stesso. Non si tratta dell’unica fonte normativa che incide sul contenuto dei contratti di esternalizzazione di servizi: basti pensare alla Circolare 285 di Banca d’Italia, al Regolamento 38 di IVASS, senza contare le Linee Guida EBA sulle esternalizzazioni per citare un altro esempio europeo. Si rende quindi evidente come il legislatore e le Autorità italiane e internazionali considerino i contratti di esternalizzazione come estremamente rilevanti per i rischi che possono comportare, sia in termini di continuità operativa per i clienti, sia per il tema della sicurezza che i fornitori devono garantire. Il GDPR ha peraltro inciso non solo sui contratti nuovi ma anche sui contratti già stipulati nel tempo e in essere al momento della sua efficacia: questo ha determinato la necessità per molti mesi di rinegoziare i contratti in vigore. Pertanto oggi, ad oltre un anno dalla efficacia piena del GDPR, è importante capire come affrontare la tematica della gestione della contrattualistica sotto vari punti di vista: dalla preparazione della specifica dei servizi da esternalizzare, alla valutazione dei fornitori, fino alla negoziazione e gestione dei contratti stessi.