Quando si parla di GDPR con riferimento al mondo virtuale, soprattutto per quanto concerne i siti Web, ci si concentra soprattutto su consensi e informative. In realtà c’è un aspetto ancor più importante da analizzare che riguarda la contrattualizzazione del rapporto che porta alla realizzazione del sito.
In questo caso il GDPR non solo si riflette su alcuni adempimenti, ma diventa necessariamente parte integrante delle clausole contrattuali, proprio perché rappresenta un punto imprescindibile della creazione di un sito Web. Non bisogna infatti dimenticare che i siti realizzano diversi trattamenti di dati personali, a seconda degli strumenti che vengono installati e che vengono impiegati per il loro funzionamento. Capire quali dati vengono utilizzati, già in fase di creazione del sito, consente di impiegare quelle misure necessarie per rientrare nel concetto di privacy by design introdotto dal nuovo sistema normativo.
Indice degli argomenti
La necessità del contratto
In questa nuova dimensione, in cui i dati personali vengono innalzati a diritto fondamentale dell’uomo, è necessario prevedere un’apposita e specifica disciplina contrattuale che riesca ad individuare in maniera chiara adempimenti, soggetti destinatari degli stessi ed eventuali responsabilità. Non sempre, tuttavia, questa esigenza trova riscontro positivo nella realtà. Ci sono infatti situazioni nelle quali l’accordo delle parti non viene traslato in un apposito documento, ma rimane frammentato in comunicazioni susseguitesi nel corso del tempo, magari nemmeno attraverso l’utilizzo dello stesso strumento, per cui risulta difficile ricostruire tutti i caratteri dell’accordo stesso. Fortunatamente non sempre accade che le parti non abbiano un contratto, ma nella realtà bisogna comunque confrontarsi con situazioni molto eterogenee nelle quali convivono casi in cui i contratti sono stipulati appositamente per quel singolo incarico e casi nei quali l’incarico stesso è basato su una stretta di mano o poco più.
In questa ultima ipotesi, molto frequente soprattutto nelle realtà di piccole dimensioni, le parti non sono adeguatamente tutelate perché non solo non hanno a disposizione un unico documento al quale fare riferimento, ma soprattutto perché gli accordi intervenuti tra le parti non sempre, forse quasi mai, hanno regolamentato tutti gli aspetti relativi al rapporto giuridico che è stato creato. La previsione, quindi, di clausole parziali, non sempre esaustive e probabilmente non chiare, espone i contraenti a possibili contestazioni che, proprio in virtù di questo stato di cose, risultano di difficile soluzione, soprattutto in via stragiudiziale. È quindi evidente che un contratto chiaro, preciso e ben strutturato rappresenti per le stesse un indiscutibile strumento di tutela delle rispettive posizioni.
Si deve, tuttavia, fare i conti con una prassi diffusa che spinge le parti a concludere l’accordo puntando l’attenzione unicamente sulle clausole percepite come fondamentali dalle parti stesse, ossia l’oggetto dell’incarico e il corrispettivo. Nell’ambito della propria autonomia contrattuale, tuttavia, accade che anche su questi due ultimi aspetti le parti non giungano ad una contrattazione esaustiva, aggiungendo ulteriori criticità ad una situazione nella quale viene omessa la regolamentazione di numerosi elementi che, in caso di contestazione, possono risultare fondamentali. Uno di questi, ad esempio, riguarda l’adeguamento del sito alla normativa in tema di protezione dei dati personali. Il contratto dovrà individuare il soggetto responsabile e dovrà perimetrare in maniera dettagliata i relativi compiti. La mancanza di una simile indicazione espone le parti contrattuali a possibili problemi derivanti, appunto, dalla mancata normazione degli stessi, con il conseguente rischio, per esempio, che certi adempimenti non vengano rispettati ed eseguiti.
Un modello standard
Se da un lato si riconosce l’importanza del contratto, dall’altro si tende, in molti casi, a ricercare un modello standard per accelerare un adempimento visto unicamente come inutile burocratizzazione dell’attività lavorativa. Niente di più sbagliato. Il modello standard, infatti, per definizione, deve essere generico per poter ricomprendere il maggior numero possibile di ipotesi, circostanza questa che non consente di avere una tutela specifica.
Nelle maglie necessariamente larghe di un contratto standard possono quindi sfuggire elementi fondamentali di quella singola realtà concreta, con la conseguenza che gli stessi non trovano alcun tipo di protezione in ambito contrattuale. Il modello standard, proprio per questo, non può che essere adottato come base per un contratto che andrà necessariamente personalizzato in relazione alle peculiarità del caso concreto.
Si tenga inoltre presente un ulteriore aspetto. In tema di GDPR il modello standard non può essere considerato in linea con il principio di accountability e, in particolare, con il principio di responsabilizzazione del titolare del trattamento. L’adeguamento di un sito Web parte necessariamente dall’analisi dell’impianto tecnico dello stesso, ossia degli strumenti che utilizza e solo dopo questa valutazione sarà possibile individuare le misure adeguate per rendere lo stesso compliant al GDPR. Il contratto, pertanto, dovrà individuare i soggetti deputati a questo tipo di valutazione e ne dovrà perimetrare i compiti, attività queste che, evidentemente, non possono essere effettuate da un modello standard.
Come stipulare un contratto
Partendo dalla necessità di avere un contratto scritto, dettagliato e preciso è indispensabile rilevare che nella redazione dello stesso si dovrà tenere ben presente l’adeguamento al GDPR. Con riferimento, infatti, ad un sito Web gli adempimenti imposti dalla normativa sulla protezione dei dati personali sono vari e complessi. Questo significa che, come già anticipato, compiti e qualifiche andranno indicate in maniera dettagliata, cercando di specificare ogni singolo elemento per evitare sovrapposizioni tra i rispettivi compiti delle parti o, al contrario, ambiti scoperti e quindi non regolamentati.
Così nel caso della realizzazione di un sito il contratto dovrà stabilire se la parte che si obbliga alla creazione dello stesso (sia una Web agency, un libero professionista, un web designer non importa) sia tenuto anche alla realizzazione del banner per i cookie, alla redazione dell’informativa del sito e alla decisione dei dati da inserire nei form presenti, ad esempio, per la richiesta della iscrizione alla newsletter, per il modulo di contatto o l’invio di un curriculm vitae. Può apparire eccessivo, almeno sotto alcuni aspetti, ma clausole contrattuali specifiche e dettagliate possono prevenire contestazioni che espongono a conseguenze giuridiche anche piuttosto serie.
Si pensi, ad esempio, al caso di una Web agency che realizzi un sito web sulla base di un contratto scritto, ma non completo e dettagliato. In assenza di una specifica previsione in tal senso a chi spetta il compito di stabilire quali dati richiedere all’utente per ciascun form che dovesse essere inserito nel sito? Ora, se nel modulo predisposto, per esempio, per l’iscrizione alla newsletter fosse inserita la richiesta di dati superflui, quindi non in linea con il principio di minimizzazione dei dati, di chi sarebbe la relativa responsabilità? Qualora, addirittura, il controllo della compliance del sito fosse demandato ad un soggetto terzo quali effetti potrebbe avere su un’ipotesi come quella appena riportata?
Come si vede le possibili criticità derivanti dall’esecuzione di un rapporto non adeguatamente contrattualizzato espone a problemi di varia natura, sia a livello interpretativo, sia a livello di affermazione di diritti e obblighi delle parti, sia, infine, di responsabilità delle stesse. In conclusione, quindi, la corretta redazione di un contratto, che possa risultare un utile strumento di tutela per le parti, impone necessariamente di inserire tra le clausole contrattuali anche gli aspetti inerenti al GDPR.
