Previous Page  44 / 53 Next Page
Information
Show Menu
Previous Page 44 / 53 Next Page
Page Background

SPECIALE GDPR

Con il nuovo Regolamento diventa più importante valutare l’impatto che la decisione

di esternalizzare delle attività potrebbe avere sulla protezione dei dati personali.

L’

esternalizzazione di alcuni processi di business, come

per esempio l’affidamento di servizi di back office,

la gestione di applicativi o l’attività di marketing, è una

soluzione spesso scelta dalle imprese per rendere più

efficienti i processi, ridurre i costi o semplicemente sfrut-

tare l’esperienza specializzata dei consulenti esterni.

L’outsourcing di alcuni processi può comportare anche

l’affidamento di certe attività di trattamento di dati per-

sonali a una società esterna. Con il nuovo Regolamento

UE 2016/679 in materia di protezione dei dati personali

diventa più importante che in passato valutare l’impat-

to che tale decisione potrebbe avere sulla protezione

dei dati personali. L’esternalizzazione di certe attività di

L’IMPATTO SU OUTSOURCING

E CLOUD COMPUTING

Debora Stella

Responsabile dipartimento privacy e data protection

Studio Legale Bird & Bird

Theodora Dragan

Associate Studio Legale Bird & Bird

business comporta infatti – a livello di privacy – la per-

dita del controllo esclusivo sui dati personali da parte

dell’impresa-titolare del trattamento e la necessità di

costruire presidi idonei a mantenere comunque un con-

trollo su tali dati.

Infatti, ancorché le operazioni di trattamento siano poste

in essere da parte di un soggetto terzo, le stesse sono

effettuate per conto del soggetto committente che ne

resta titolare. E proprio a quest’ultimo il fornitore a cui

sono affidate tali operazioni deve rispondere nella sua

veste di responsabile del trattamento.

Nuovi obblighi per governare il rapporto

con i fornitori

Il Regolamento, che è già entrato in vigore nel 2016 e

si applicherà pienamente dal 25 maggio 2018, prevede

obblighi specifici in capo ai titolari del trattamento dei

dati (ossia i soggetti che prendono le decisioni riguardanti

le modalità e le finalità del trattamento) per quanto ri-

guarda l’affidamento a terzi di operazioni di trattamento

dei dati personali.

L’art. 28 e il considerando 81 del Regolamento conten-

gono i principali obblighi in questo senso. Da un punto

di vista pratico non si tratta di novità effettive, in quanto

gli obblighi che soggiacciono a tale articolo rappresenta-

no oneri ai quali il titolare del trattamento già avrebbe

dovuto attenersi per impostare nel modo più corretto

il rapporto con i responsabili del trattamento.

Il Regolamento, quindi, codifica gli obblighi qui di segui-

to descritti.

74

dicembre 2017

© iStock - annatodica

prosegue a pagina 76