Accordo di contitolarità: dal Garante Tedesco arriva il primo modello

Recentemente, l’Autorità garante per la protezione dei dati personali della regione Baden-Württemberg, in Germania, ha predisposto un modello di accordo di contitolarità del trattamento dei dati personali ai sensi dell’art. 26 del GDPR.

Ricordo che, ai sensi dell’art. 26 del GDPR, qualora due o più titolari del trattamento determinino congiuntamente finalità e mezzi di uno specifico trattamento, questi sono “contitolari del trattamento” e devono determinare a mezzo di accordo interno le rispettive responsabilità in merito all’osservanza degli obblighi scaturenti dal GDPR. Il Garante di Baden Württemberg ha così tentato di fornire una guida per la predisposizione di tali accordi ex art. 26 GDPR.

Riassumendo brevemente, l’accordo prevede:

  • premessa dell’accordo, è contenuta la ragione sociale e i dati di contatto di ciascun contitolare al trattamento. In questa fase, l’autorità privacy del Baden-Württemberg consiglia di specificare se i dati personali siano trattati nell’ambito di un progetto o di un sistema, dettagliandone le fasi e le procedure che attengono all’alveo della contitolarità;
  • articolo 2, devono essere specificati i sistemi, processi e le procedure che riguardano i settori ove vige la responsabilità effettiva sul trattamento dei dati;
  • articolo 3, ciascuna parte garantisce il rispetto delle disposizioni di legge, in particolare la liceità dei trattamenti di dati da essa effettuati, compresi quelli effettuati nell’ambito della responsabilità congiunta;
  • articolo 4, determina la conservazione dei dati personali. In particolare, la conservazione dovrà avvenire in un formato strutturato, di uso comune e leggibile da dispositivo automatico;
  • articolo 5, determina che le parti si debbano impegnare a fornire gratuitamente all’interessato le informazioni richieste;
  • articolo 6, dispone che gli interessati possono far valere l’esercizio dei loro diritti nei confronti di entrambe le parti;
  • articolo 7, disciplina il diritto di accesso dell’interessato;
  • articolo 8, disciplina i diritti di accesso, rettifica e cancellazione dei dati personali degli interessati;
  • articolo 9, impone alle parti di informarsi reciprocamente e in modo completo e immediato di eventuali errori e irregolarità nelle disposizioni in materia di protezione dei dati di cui sono venute a conoscenza;
  • articolo 10, impone le parti di impegnarsi a mettere a disposizione degli interessati il contenuto essenziale dell’accordo sulla responsabilità congiunta in materia di protezione dei dati personali;
  • articolo 11, impone a tutti i contitolari del trattamento la responsabilità inerente agli obblighi di comunicazione e notifica relativi al DATA BREACH;
  • articolo 12, dispone la necessità di procedere alla valutazione di impatto, nei casi previsti;
  • articolo 13, dispone che tutta la documentazione necessaria al trattamento dei dati sia conservata oltre il termine di durata contrattuale;
  • articolo 14, impone alle parti di garantire, nell’ambito della loro sfera di influenza, che tutto il personale coinvolto nel trattamento dei dati mantenga e rispetti la riservatezza degli interessati;
  • articolo 15, dispone che gli obblighi dei responsabili esterni siano estesi anche ai contitolari;
  • articolo 16, afferma che le parti si impegnano a concludere un contratto od atto di nomina vincolante quando si avvalgono di responsabili al trattamento nell’ambito del presente accordo;
  • articolo 17, impone di redigere un registro dei trattamenti per i contitolari;
  • articolo 18, disciplina che le parti sono responsabili in solido nei confronti delle persone interessate per i danni causati da un trattamento non conforme al GDPR.

Per una consulenza più dettagliata si rimane sempre a disposizione.

Show CommentsClose Comments

Leave a comment