Perché il contratto è importante

La contrattualistica, nella gestione di un rapporto cliente-fornitore, è fondamentale. Un contratto ben strutturato, capace di comprendere tutti i possibili scenari auspicabili e non, consente di porre le basi di un rapporto solido e ben definito. In aggiunta, in caso di contestazioni o contezioso, permette di avere un documento formale su cui poter fondare le proprie rimostranze o la propria difesa/accusa.

Purtroppo moltissime aziende sottovalutano questo aspetto e spesso ci troviamo di fronte a collaborazioni, anche di un certo valore e rischio, basate su accordi verbali o su contratti manchevoli sotto molti punti di vista.

La stesura di contratti solidi e inattaccabili richiede l’intervento di una professionalità specifica, che per formazione e per esperienza sappia tradurre in punti e clausole tutti gli aspetti che andrebbero affrontati e sottoscritti.

Cosa si offre? In quali termini? In quali modalità? Per quanto tempo? Quali SLA (Service Level Agreement) vengono garantite? Chi è responsabile di cosa? Esistono sub-fornitori? Se sì, come viene garantita la loro competenza? Come vengono gestite e verificate le risorse? Come vengono impostati e garantiti i pagamenti? Cosa accade in situazioni di cause di forza maggiore? Sono previsti rimborsi in caso di disservizi? Come funziona la disdetta? In caso di contenzioso a quale foro si farà riferimento?

Queste sono solo alcune delle possibili centinaia di domande a cui un contratto dovrebbe dare risposta: ogni organizzazione ha una sua tipicità e per questo per ogni realtà deve essere studiato un sistema di contrattualistica ad hoc, che possa tutelare realmente le parti coinvolte.

Contrattualistica IT

Uno dei settori in cui spesso vengono riscontrare gravi mancanze a livello contrattuale è quello legato ai servizi informatici. In molti casi il contratto tra cliente e fornitore è del tutto assente, in altri è parziale e manchevole. Con contratti IT intendiamo tutte quelle sottoscrizioni legate a servizi di rete:

  • fornitura di un software
  • fornitura di hardware, anche a noleggio o in costo copia
  • servizi di programmazione software/app/applicativi
  • fornitura di servizi di cloud e hosting
  • attività di cybersecurity (vulnerability assessment, penetration test, etc…)
  • attività di cybersecurity continuative (Es: SOC)
  • fornitura di servizi di back up
  • fornitura della connessione di rete
  • fornitura di servizi voip

Prendiamo l’esempio di una software house che si affida ad un fornitore in cloud per l’hosting del suo servizio di cartella clinica digitale che eroga a tutti i suoi clienti con una copertura h24 – 7/7. Qualora questa garanzia venisse disattesa per colpe imputabili al fornitore cloud, come verrebbe gestita la situazione? Questa risposta può trovare senza dubbio sede in aspetti di contrattualistica che devono essere definiti a priori e che devono ragionare su tutti gli aspetti di organizzazione e di rischio prevedibili, compresi eventuali sub-appalti delle attività.

Il Team di Mondo Privacy affida la redazione e la stesura dei contratti IT ad un team che comprende professionalità fondamentali e complementari: la figura legale dell’avvocato, la figura tecnica/ingegneristica con skills fortemente legate al mondo informatico, la figura dell’auditor ISO 27001 con esperienze connesse all’organizzazione aziendale e all’analisi del rischio e infine alla figura del DPO che apporta il suo contributo in ambito protezione dati personali.

Contrattualistica privacy

Con contrattualistica privacy intendiamo tutti quei contratti che al loro interno hanno componenti sostanziali legate alla protezione dei dati personali e al GDPR. Si pensi per esempio al settore sanitario, alla ricerca scientifica o al trattamento di informazioni genetiche: sono tutti ambiti in cui i diritti degli Interessati vanno tutelati in maniera molto attenta ed è quindi necessario definire in maniera chiara ruoli e responsabilità.

Gli ambiti che tendenzialmente richiedono una forte specializzazione sulla materia legale e sulla normativa privacy per la redazione di contratti sono:

  • sanità (ospedali, centri di ricerca, laboratori, etc…)
  • monitoraggio dell’Interessato, sia esso lavoratore, paziente, studente o altro
  • biometria, compresi aspetti di rilevamento delle presenze
  • videosorveglianza
  • ricerca e selezione del personale con sistemi decisionali automatizzati
  • profilazione dell’utente
  • archivio su larga scala di dati contenenti informazioni personali

Gli aspetti più delicati da tenere in considerazione devono essere evidenziati tramite un’analisi dei rischi che evidenzi i punti critici del trattamento e vada a definire tutti i nodi di attenzione. Per fare un esempio possiamo pensare ad un centro di ricerca che gestisce dati di tipo sanitario e genetico di Interessati affetti da malattie rare. Una realtà di questo tipo deve preoccuparsi di contrattualizzare in maniera blindata tutti quei servizi che possono mettere a rischio i diritti e la dignità dell’interessato: Chi fornisce gli strumenti e i software di analisi dei dati? Chi è il fornitore dell’archivio? A chi cediamo i dati della ricerca? Esistono clausole di NDA?

Anche in questo caso il team di Mondo Privacy ha strutturato una squadra di professionisti che grazie alla complementarietà di profili legali e di DPO certificati può supportare le aziende nella stesura di contratti che siano realmente tutelativi negli aspetti del GDPR.