La regolamentazione del trattamento dei dati personali e non personali nei contratti ICT.

L’Avv. Alessandro Del Ninno ha partecipato in qualità di relatore al workshop Paradigma intitolato “La regolazione del trattamento dei dati personali e non personali nei contratti ICT”, svoltosi il 18 marzo 2026 e dedicato alla redazione delle clausole contrattuali alla luce del GDPR, del Data Act, del Data Governance Act e dell’AI Act. L’incontro ha affrontato, in chiave operativa, i principali problemi giuridici connessi alla disciplina dei dati nei rapporti ICT, con particolare attenzione alla struttura dei contratti, alla corretta allocazione dei ruoli, alla gestione dei rischi e al coordinamento tra le più recenti fonti europee in materia di dati e tecnologie digitali.

Nel corso della relazione, l’Avv. Del Ninno ha illustrato il nuovo ecosistema normativo europeo dei dati, evidenziando come nei contratti ICT non sia più possibile trattare separatamente dati personali e dati non personali, poiché nella prassi i dataset sono spesso “misti” e richiedono quindi una disciplina contrattuale capace di governare contemporaneamente esigenze di protezione dei dati, accesso, riutilizzo, portabilità, segreti commerciali e responsabilità. In tale prospettiva, ha richiamato anche il ruolo del Digital Omnibus quale intervento di semplificazione e coordinamento del quadro normativo esistente in materia di dati, intelligenza artificiale e cybersicurezza.

Una parte centrale dell’intervento è stata dedicata al metodo di redazione delle clausole contrattuali sui dati. L’Avv. Del Ninno ha sottolineato come una clausola efficace non possa limitarsi a ripetere la norma, ma debba tradurre il rischio in processi, evidenze documentali, tempi di risposta, rimedi e meccanismi di controllo. In questa logica, ha illustrato l’importanza di costruire una vera architettura documentale del contratto ICT, distinguendo tra contratto principale e allegati specialistici, quali il Data Schedule, il Data Processing Agreement, il Security Schedule, gli allegati su portabilità, switching ed exit, nonché gli accordi di condivisione o intermediazione dei dati.

L’intervento ha poi approfondito i profili propri del GDPR, soffermandosi sulla corretta qualificazione dei ruoli tra titolare, responsabile e contitolare, sulla necessità di accordi sul trattamento realmente descrittivi e non meramente formali, sulla disciplina della subfornitura e sulla gestione contrattuale della DPIA, dei data breach e delle richieste degli interessati. In particolare, è stato evidenziato come l’assistenza del fornitore in questi ambiti debba essere configurata come un processo contrattuale strutturato, con canali, tempi, contenuti minimi e obblighi documentali chiaramente definiti.

Ampio spazio è stato riservato anche al Data Act, con riferimento ai dati generati da prodotti connessi e servizi correlati, alle condizioni di accesso, condivisione e riutilizzo dei dati tra imprese, ai limiti posti a clausole abusive imposte unilateralmente e ai modelli contrattuali utili per regolare portabilità, compensi, segreti commerciali e continuità operativa. L’Avv. Del Ninno ha evidenziato che il Data Act introduce una disciplina destinata a incidere in modo diretto sulla contrattualistica commerciale e cloud, imponendo una maggiore precisione nella definizione dei dati coinvolti, dei limiti di utilizzo e delle regole di uscita dal rapporto.

Nella parte finale, la relazione ha affrontato i riflessi dell’AI Act sulla contrattualistica ICT, con particolare riguardo ai sistemi di IA ad alto rischio, alla necessità di documentare il sistema di data governance, alla qualità dei dataset utilizzati, alle verifiche sui bias, all’uso eventuale di categorie particolari di dati, nonché ai rapporti tra committente e fornitore nella gestione dei rischi tecnologici e informatici. È stato inoltre posto l’accento sull’esigenza di presidiare contrattualmente i temi della dipendenza dal fornitore, della localizzazione dei dati, del subappalto, degli audit, dell’assistenza in caso di incidente e delle clausole di risoluzione nei contratti ICT, anche alla luce delle normative europee sulla resilienza e sulla sicurezza digitale.

Programma del Convegno