Nel quadro del GDPR, la contitolarità del trattamento richiede più di un’intesa informale: serve un accordo chiaro, documentato e praticabile che individui responsabilità, modalità operative e diritti dei soggetti interessati. Questa introduzione ti accompagna ai principi fondamentali che devono guidare la redazione di un accordo di contitolarità privacy, mettendo a fuoco non solo gli obblighi di legge (in particolare l’art. 26), ma anche le scelte operative che preservano la trasparenza e riducono il rischio di contenziosi.
Leggerai come definire con precisione le finalità del trattamento, ripartire responsabilità e oneri (inclusi risposte alle richieste degli interessati, misure di sicurezza e notifiche di violazione), stabilire canali di comunicazione tra contitolari e predisporre clausole di governance e revisione. La guida offre criteri pratici per bilanciare chiarezza giuridica e flessibilità operativa, esempi di formulazioni contrattuali e una checklist finale per verificare che l’accordo rispetti principi di accountability e trasparenza.
Come scrivere un accordo contitolarità privacy
Per redigere un accordo di contitolarità della protezione dei dati occorre partire da una mappa precisa dei fatti: identificare chiaramente chi sono le parti, quale attività concreta di trattamento intendono svolgere congiuntamente, quali categorie di dati personali e quali categorie di interessati saranno coinvolte, con quale finalità e su quale base giuridica. Questa ricostruzione fattuale deve tradursi nel corpo dell’accordo in una descrizione operativa delle attività di trattamento, non in formule generiche, perché il regolamento richiede che l’articolazione delle responsabilità sia proporzionata alla realtà del trattamento e comprensibile sia per le parti sia per gli interessati. Evitare ambiguità significa definire spazi di responsabilità misurabili: chi decide le finalità, chi determina le modalità tecniche e operative, chi gestisce i canali di raccolta, chi cura la conservazione e chi coordina la cancellazione o la rettifica.
Il testo deve rispettare i requisiti dell’articolo 26 del GDPR: l’accordo deve stabilire in modo specifico le rispettive responsabilità per l’adempimento degli obblighi previsti dal regolamento, non limitandosi ad affermazioni di principio ma indicando concretamente chi svolge quali attività rispetto all’esercizio dei diritti degli interessati, alle informative, alla gestione delle richieste di accesso, rettifica, cancellazione, limitazione e portabilità. È essenziale prevedere un punto di contatto chiaro per gli interessati e la modalità con cui questi saranno informati: l’accordo dovrà essere reso disponibile agli interessati tramite le informative o link pubblici e spiegare come un soggetto possa esercitare i propri diritti presso una qualunque delle parti, con l’impegno delle parti a cooperare e a coordinare la risposta.
Nel corpo dell’accordo devono essere inserite clausole operative relative alla conformità: l’obbligo di mantenere un registro delle attività di trattamento ai sensi dell’articolo 30, la responsabilità di effettuare eventuali valutazioni d’impatto (DPIA) e di condividere i risultati e le misure mitiganti, la definizione delle misure tecniche e organizzative minime richieste per la sicurezza dei dati, e la procedura per la gestione delle violazioni di dati personali. La procedura per le violazioni deve indicare i tempi e le modalità di notifica reciproca e verso l’autorità di controllo, la ripartizione dei ruoli nella gestione dell’incidente e le azioni correttive, ricordando che la normativa impone obblighi stringenti (ad esempio la notifica entro 72 ore alle autorità competenti salvo giustificato ritardo) e che l’accordo non può configurare esoneri rispetto a tali obblighi.
Occorre disciplinare con precisione il rapporto con i sub-responsabili (i processor). Se una o più parti intendono avvalersi di responsabili esterni, l’accordo deve prevedere obblighi di informazione, meccanismi di approvazione dei responsabili e l’obbligo di stipulare con i responsabili contratti conformi all’articolo 28 del GDPR. L’accordo di contitolarità dovrà altresì chiarire chi è responsabile del monitoraggio della conformità dei processor e con quali diritti di audit, prevedendo modalità pratiche per l’esecuzione di controlli, la frequenza e la gestione di eventuali non conformità rilevate.
La gestione dei trasferimenti internazionali richiede attenzione particolare: quando i trattamenti implicano trasferimenti verso Paesi terzi si devono indicare le misure adottate a garanzia, come clausole contrattuali standard, decisioni di adeguatezza della Commissione europea, norme vincolanti d’impresa o altre garanzie ammesse dal GDPR. È opportuno inserire clausole che stabiliscano la responsabilità di ciascuna parte nel caso di trasferimenti non conformi e le procedure per la tempestiva adozione o modifica delle misure tecniche e contrattuali richieste dalle autorità di controllo.
La disciplina della durata, della cessazione e del trattamento dei dati a seguito della fine della collaborazione deve essere dettagliata: stabilire regole sul periodo di conservazione, sulle modalità di restituzione o cancellazione dei dati, sulle copie di backup e sulla possibilità di conservare dati per obblighi di legge. Va previsto un meccanismo di transizione e responsabilità per la gestione dei dati residui, inclusa la documentazione che attesti l’avvenuta cancellazione o il trasferimento, così da poter dimostrare la conformità in caso di verifica.
Gli aspetti di responsabilità civile e indennità richiedono formulazioni accurate: l’accordo può prevedere regole di ripartizione dei costi derivanti da sanzioni, risarcimenti o spese legali, ma non può comprimere i diritti degli interessati né esonerare una parte dalle responsabilità previste dal GDPR. È utile disciplinare l’assicurazione per la responsabilità in materia di data breach e come le parti concorderanno la gestione economica di eventi rilevanti, distinguendo tra responsabilità diretta per violazioni commesse nella sfera di controllo di ciascuna parte e responsabilità solidale nei casi previsti dalla normativa.
La cooperazione con le autorità garanti e i meccanismi di gestione delle richieste da parte di terzi vanno esplicitati: l’accordo deve prevedere obblighi di collaborazione e mutua assistenza in caso di ispezioni, richieste di informazioni o ricorsi, con modalità per la gestione delle comunicazioni ufficiali e la condivisione della documentazione richiesta. È importante includere la previsione di incontri di governance, revisioni periodiche della conformità e un sistema decisionale per l’adozione di misure correttive, specificando chi ha l’autorità di prendere decisioni operative e chi delega.
Sul piano stilistico e pratico, il linguaggio dell’accordo deve essere tecnico-giuridicamente corretto ma chiaro; evitare formule vaghe e lasciare spazio a criteri concreti che permettano l’operatività quotidiana. Inserire clausole che impongano alle parti l’obbligo di tenere aggiornate le informazioni sul trattamento, di notificare cambiamenti sostanziali e di rivedere l’accordo in caso di mutamento delle modalità del trattamento o della normativa. Prevedere espressamente che l’accordo non limita i diritti degli interessati né riduce gli obblighi stabiliti dal GDPR, includendo una clausola di prevalenza delle disposizioni normative ove ci fosse conflitto.
Infine, curare la parte formale: indicare la legge applicabile e, se del caso, la giurisdizione competente, prevedere la durata contrattuale e le condizioni di recesso, stabilire le modalità di modifica dell’accordo con consenso scritto di tutte le parti e raccogliere firme e deleghe di chi sottoscrive per conto delle organizzazioni. Coinvolgere il responsabile della protezione dei dati o un consulente legale specializzato nella stesura e nel controllo dell’accordo è fortemente raccomandato per assicurare che il documento rifletta correttamente gli obblighi normativi e le esigenze operative, e per predisporre la documentazione e le informative che dovranno essere rese disponibili agli interessati come previsto dall’articolo 26.
Fac simile accordo contitolarità privacy
Accordo di Contitolarità del Trattamento dei Dati Personali
Tra
– ______________, con sede legale in ______________, codice fiscale/partita IVA ______________, rappresentata da ______________ (di seguito “Contitolare 1”);
e
– ______________, con sede legale in ______________, codice fiscale/partita IVA ______________, rappresentata da ______________ (di seguito “Contitolare 2”);
(Contitolare 1 e Contitolare 2 congiuntamente le “Parti” e individualmente la “Parte”).
Premesso che
– le Parti intendono collaborare per lo svolgimento delle attività descritte nel presente accordo e, nell’ambito di tale collaborazione, ciascuna Parte potrà essere titolare, congiuntamente, del trattamento dei dati personali degli interessati;
– le Parti intendono disciplinare i reciproci obblighi e responsabilità ai sensi dell’art. 26 del Regolamento (UE) 2016/679 (“GDPR”) e della normativa nazionale applicabile in materia di protezione dei dati personali;
si conviene e stipula quanto segue.
Art. 1 – Oggetto
1. Il presente accordo disciplina la contitolarità del trattamento dei dati personali riferiti a: ______________, nei limiti e con le finalità indicate al successivo Art. 2.
Art. 2 – Finalità del trattamento
1. I dati personali saranno trattati per le seguenti finalità: ______________.
2. Le tipologie di dati personali oggetto del trattamento sono: ______________.
3. Le categorie di interessati sono: ______________.
Art. 3 – Base giuridica del trattamento
1. La base giuridica del trattamento è: ______________ (es. esecuzione di un contratto, adempimento di obblighi legali, consenso, legittimo interesse etc.).
Art. 4 – Ruoli e responsabilità
1. Le Parti concordano di agire quali contitolari del trattamento ai sensi dell’art. 26 GDPR.
2. Per l’espletamento degli adempimenti previsti dal GDPR e per garantire il rispetto dei diritti degli interessati, le Parti convengono la seguente ripartizione di responsabilità:
a) Responsabilità della gestione delle richieste degli interessati (esercizio diritti): ______________;
b) Responsabilità per l’implementazione delle misure tecniche e organizzative di sicurezza: ______________;
c) Responsabilità per la conservazione e la cancellazione dei dati: ______________;
d) Responsabilità per le comunicazioni verso le autorità di controllo e per la notifica di violazioni dei dati personali: ______________;
e) Altre responsabilità specifiche: ______________.
3. Le Parti si impegnano a cooperare e a scambiarsi tutte le informazioni necessarie per adempiere agli obblighi di cui al GDPR.
Art. 5 – Informativa agli interessati
1. Le Parti concordano che l’informativa resa agli interessati conterrà l’indicazione della contitolarità, nonché i nominativi e i recapiti dei contitolari e del contatto per l’esercizio dei diritti: ______________.
2. Le Parti si impegnano a mettere a disposizione degli interessati il testo integrale del presente accordo o un estratto che consenta agli interessati di comprendere la ripartizione delle responsabilità.
Art. 6 – Esercizio dei diritti degli interessati
1. Le richieste relative all’esercizio dei diritti ex GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, ecc.) devono essere presentate mediante: ______________.
2. La gestione pratica delle richieste sarà effettuata come segue: ______________.
3. Le Parti garantiscono la tempestiva collaborazione reciproca per rispondere alle richieste entro i termini di legge.
Art. 7 – Durata del trattamento e conservazione dei dati
1. I dati personali saranno trattati per il periodo necessario al conseguimento delle finalità indicate all’Art. 2 o per il termine previsto da obblighi di legge: ______________.
2. Criteri e modalità per la cancellazione o conservazione: ______________.
Art. 8 – Misure di sicurezza
1. Le Parti si impegnano ad adottare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali, incluse, a titolo esemplificativo: controllo degli accessi, cifratura, backup, gestione delle credenziali, formazione del personale. Le misure specifiche adottate da ciascuna Parte sono: ______________.
2. Le Parti valuteranno periodicamente l’adeguatezza delle misure di sicurezza e si informeranno reciprocamente circa modifiche rilevanti.
Art. 9 – Subfornitori (Responsabili del trattamento)
1. Qualora una Parte intenda avvalersi di responsabili esterni del trattamento, ne darà preventiva comunicazione all’altra Parte indicando soggetto, finalità e natura del servizio: ______________.
2. L’utilizzo di responsabili del trattamento sarà disciplinato mediante idoneo contratto/executive agreement che includa le garanzie richieste dall’art. 28 GDPR.
Art. 10 – Trasferimenti internazionali di dati
1. Eventuali trasferimenti di dati verso Paesi terzi o organizzazioni internazionali saranno effettuati solo in conformità alla normativa applicabile e previo adozione di garanzie adeguate: ______________.
2. Le Parti si informeranno reciprocamente circa eventuali trasferimenti e misure adottate.
Art. 11 – Violazioni dei dati personali
1. In caso di violazione dei dati personali (data breach), la Parte che rileva la violazione informerà tempestivamente l’altra Parte entro: ______________ ore/giorni dal momento della scoperta.
2. Le Parti concorderanno le azioni da intraprendere, inclusa la notifica all’autorità di controllo e, se necessario, agli interessati.
Art. 12 – Audit e controlli
1. Le Parti si riconoscono il diritto di effettuare verifiche e audit ragionevoli in relazione al rispetto del presente accordo, previa comunicazione e accordo su tempi e modalità: ______________.
2. Le Parti si impegnano a cooperare e a fornire le informazioni necessarie per l’esecuzione degli audit.
Art. 13 – Responsabilità e indennizzo
1. Le Parti risponderanno per i danni derivanti dall’inosservanza degli obblighi loro attribuiti dal presente accordo conformemente alla normativa applicabile.
2. Le Parti convengono che l’eventuale ripartizione della responsabilità e degli indennizzi sarà la seguente: ______________.
Art. 14 – Modifiche del presente accordo
1. Qualsiasi modifica o integrazione al presente accordo dovrà essere concordata per iscritto tra le Parti e sottoscritta dai legali rappresentanti.
Art. 15 – Durata e risoluzione
1. Il presente accordo entra in vigore dalla data di sottoscrizione e avrà durata fino a: ______________.
2. Il presente accordo può essere risolto anticipatamente in caso di inadempimento grave di una delle Parti, previa comunicazione scritta e decorso il termine di ______________ giorni per la regolarizzazione.
Art. 16 – Legge applicabile e foro competente
1. Il presente accordo è regolato dalla legge italiana.
2. Per ogni controversia relativa all’interpretazione, esecuzione o validità del presente accordo sarà competente il Foro di ______________, salvo diverso accordo inderogabile tra le Parti.
Art. 17 – Comunicazioni
1. Le comunicazioni tra le Parti relative al presente accordo dovranno essere inviate ai seguenti recapiti:
– Per Contitolare 1: ______________;
– Per Contitolare 2: ______________.
Art. 18 – Informazioni sui Responsabili della protezione dei dati (DPO)
1. Qualora le Parti abbiano nominato un DPO, i relativi contatti sono:
– Per Contitolare 1 DPO: ______________;
– Per Contitolare 2 DPO: ______________.
Art. 19 – Allegati
1. Sono parte integrante del presente accordo i seguenti allegati:
– Allegato A: Descrizione dei trattamenti e flussi dei dati: ______________;
– Allegato B: Elenco dei responsabili esterni e relativi contratti: ______________;
– Altri allegati: ______________.
Fatto, letto e sottoscritto.
Luogo e data: ______________
Per il Contitolare 1
Nome e qualifica: ______________
Firma: ______________
Per il Contitolare 2
Nome e qualifica: ______________
Firma: ______________