La regolazione del trattamento dei dati personali e non personali nei contratti ICT

Il nuovo quadro normativo europeo

L’assetto regolatorio europeo in materia di dati ha introdotto un insieme articolato di norme che incidono in modo rilevante sulla redazione dei contratti ICT. Il GDPR, il Data Governance Act, il Data Act e l’AI Act definiscono oggi una cornice integrata di regole sulla protezione, l’accesso, la circolazione e l’utilizzo dei dati personali e non personali.

Le imprese e le pubbliche amministrazioni sono chiamate a tradurre tale quadro in clausole contrattuali specifiche, che assicurino trasparenza, responsabilità e misurabilità delle prestazioni dei fornitori di servizi tecnologici.

Tipologie di dati e riferimenti normativi

Il concetto di “dato” ricomprende qualsiasi rappresentazione digitale di atti, fatti o informazioni, come previsto dal Digital Markets Act, dal Data Act e dal Data Governance Act.
Per “dato personale” si intende qualunque informazione riferita a una persona fisica identificata o identificabile, secondo la definizione contenuta nell’articolo 4, paragrafo 1, del GDPR.
I “dati non personali” sono disciplinati dal Regolamento (UE) 2018/1807 e comprendono tutti i dati che non consentono l’identificazione diretta o indiretta di una persona fisica.

Le verifiche preliminari alla stipula del contratto

La predisposizione di contratti ICT richiede una fase di analisi preventiva volta a valutare:

• la solidità economica e la governance del fornitore;
• la composizione della catena dei subfornitori e il livello di compliance normativa;
• le certificazioni e le autorizzazioni possedute;
• la presenza di procedure interne di sicurezza e protezione dei dati;
• la mappatura completa dei dati coinvolti nell’esecuzione della commessa.

È consigliabile eseguire test tecnici preliminari per verificare formati, tempi di risposta, capacità operative e livelli di servizio del fornitore.

Dieci principi per la redazione delle clausole “dati”

La struttura contrattuale deve garantire chiarezza, verificabilità e responsabilità condivisa tra le parti. I principali principi operativi individuabili sono i seguenti:

1. Ruoli e istruzioni: definizione puntuale di titolari, responsabili e soggetti che operano sui dati, con istruzioni scritte e aggiornabili.
2. Sicurezza misurabile: previsione di misure tecniche verificabili, come autenticazione a più fattori, cifratura, segregazione logica e test di sicurezza.
3. Subfornitori: disciplina della catena di fornitura con obblighi contrattuali vincolanti e responsabilità solidale del fornitore principale.
4. Uscita e cambio fornitore: regole chiare sulla portabilità dei dati, la continuità operativa e la sicurezza durante le fasi di migrazione.
5. Licenze e riutilizzo: indicazione delle finalità ammesse e divieto di utilizzo dei dati per finalità non autorizzate.
6. Derivati e risultati: definizione della titolarità dei dati derivati e degli output prodotti.
7. Localizzazione e trasferimenti internazionali: obbligo di mantenere i dati all’interno dello Spazio Economico Europeo, salvo garanzie adeguate.
8. Documentazione e verifiche: previsione di diritti di audit, obblighi di consegna dei registri e piani di rientro in caso di non conformità.
9. Indicatori di servizio: individuazione di metriche e livelli di servizio misurabili per sicurezza, disponibilità e tempi di intervento.
10. Intelligenza artificiale: obbligo di garantire qualità, tracciabilità e controllo sui dati utilizzati nei sistemi AI.

Clausole conformi al GDPR, al Data Act e all’AI Act

L’applicazione pratica delle regole europee comporta la definizione di clausole specifiche.

Per il GDPR, i contratti devono disciplinare i ruoli di titolare e responsabile del trattamento, la gestione dei subfornitori, le misure tecniche e organizzative, la cifratura dei dati, l’autenticazione forte, la gestione delle vulnerabilità, la conservazione dei log e la procedura di data breach.

Per il Data Act, è necessario regolamentare l’uso dei dati non personali, la proprietà e i diritti di accesso, il divieto di riutilizzo non autorizzato, la trasparenza sugli accessi extra-UE, la portabilità e l’interoperabilità tra sistemi, nonché i diritti di switching del cliente.

Per l’AI Act, occorre inserire clausole relative alla qualità dei dati di addestramento, alla documentazione tecnica obbligatoria, alla tracciabilità dei dataset e dei modelli, alla responsabilità dei fornitori di modelli di intelligenza artificiale e al monitoraggio post-deployment.

Conclusioni

La progressiva armonizzazione europea in materia di dati impone alle imprese un approccio contrattuale basato su trasparenza, controllo e misurabilità.
Le clausole contrattuali devono tradurre in termini operativi le prescrizioni del GDPR, del Data Act e dell’AI Act, assicurando la tutela dei dati come risorsa strategica e garantendo la conformità dei fornitori e dei sistemi tecnologici.

Potrebbe interessare anche

Concorsi pubblici: dal Garante Privacy le nuove FAQ su trasparenza e pubblicazione dei dati dei candidati

3 Dicembre 2025

Digital Omnibus: la proposta della Commissione UE per semplificare il diritto digitale europeo

26 Novembre 2025

L’EDPB avvia una consultazione sui modelli pratici di conformità al GDPR

11 Novembre 2025