A partire dal’entrata in vigore del GDPR nel Maggio del 2018 i fornitori di servizi si sono trovati sommersi da documenti di varia natura inoltrati dai propri clienti.
Per i consulenti informatici, manutentori e via discorrendo si tratta in massima parte di Data Protection Agreement che detto in parole povere si traduce nel contratto per la nomina a responsabile del trattamento previsto dall’art. 28 del GDPR stesso.
Tale contratto si rende necessario, ed è obbligatorio sottoscriverlo, nell’eventualità in cui il fornitore tratti dati personali per conto del cliente, cosa che, per quanto concerne il caso del consulente informatico, accade sostanzialmente sempre.
Spesso inoltre il cliente confonde la figura del responsabile del trattamento con un altra figura che interessa in particolar modo chi si occupa di informatica: l’amministratore di sistema.
Ad ogni modo, nella maggior parte dei casi, la documentazione che i clienti chiedono di sottoscrivere è spesso carente dal punto di vista del contenuto, imprecisa, lacunosa o contenente clausole estremamente gravose per il consulente (quali scarichi di responsabilità totale o similari).
Appare evidente che diventa fondamentale per queste figure dotarsi di una difesa, la più efficace risiede nel rifiuto di tale documentazione con contestuale proposizione di propria documentazione equivalente, redatta da un consulente esperto e rispondente alla legge, ma anche tutelante per il fornitore stesso.
In tal modo si evita di sottoscrivere un contratto privo del contenuto di legge e che pertanto non evita le sanzioni previste dal regolamento, si uniforma la documentazione in proprio possesso e si eliminano quelle clausole particolarmente gravose che possono rivelarsi una vera e propria arma nei confronti della propria attività.
