Previous Page  46 / 53 Next Page
Information
Show Menu
Previous Page 46 / 53 Next Page
Page Background

SPECIALE GDPR

76

dicembre 2017

prosegue a pagina 78

1. La selezione.

In par ticolare, l’ar ticolo 28 prevede

che il titolare del trattamento ricorra esclusivamente a

soggetti terzi (responsabili del trattamento) che “pre-

sentano garanzie sufficienti per mettere in atto misure

tecniche e organizzative adeguate in modo tale che il

trattamento soddisfi i requisiti del [...] regolamento e

garantisca la tutela dei diritti dell’interessato”. Per adem-

piere tale obbligo, il titolare dovrà dotarsi di una pro-

cedura di selezione dei fornitori esterni, in modo tale

da poter verificare che essi presentino le “garanzie suf-

ficienti” richieste dal Regolamento. Tale procedura sarà

necessariamente diversa per ogni impresa, in base alla

caratteristiche dei dati personali trattati e alla tipologia

di trattamento affidata ai terzi. L’outsourcing delle atti-

vità di trattamento dei dati dei clienti (persone fisiche)

per una campagna di marketing specifica, per esempio,

avrà un ambito circoscritto e richiederà garanzie diver-

se rispetto all’affidamento dei dati dei dipendenti per

l’elaborazione delle buste paga.

Alternativamente, l’adesione da parte del responsabile

La catena di subappalto

Un aspetto particolarmente importante e innovativo nella

soluzione pratica rispetto al contesto giuridico attuale è

quello relativo alla gestione della catena di subappaltatori,

poiché solitamente un responsabile può esternalizzare, a

sua volta, alcuni processi di business ad altre società ester-

ne – e così avanti. Nel caso di grandi imprese che eseguono

diversi trattamenti di dati per numerose finalità, la catena di

fornitori può diventare piuttosto lunga. Per questo motivo,

il nuovo Regolamento prevede l’obbligo del responsabile di

non ricorrere a un altro responsabile (leggasi subappaltato-

ri ai quali sono affidate le operazioni di trattamento che il

titolare ha commissionato al fornitore principale) senza la

previa autorizzazione scritta, specifica o generale del tito-

lare del trattamento. Questo obbligo è previsto per poter

dare maggior controllo al titolare per quanto riguarda la ca-

tena di subappaltatori, così come anche un diritto di ‘veto’.

Per esempio, per impedire al responsabile di utilizzare una

società esterna che non offre garanzie adeguate per la pro-

tezione dei dati personali).

Oltre all’obbligo di informare il titolare prima di avvalersi di

una società esterna nel contesto del trattamento dei dati

del titolare, il responsabile dovrà mantenere informato il ti-

tolare qualora intenda aggiungere, eliminare o sostituire un

subappaltatore; nel qual caso il titolare avrà il diritto di op-

porsi. Inoltre, il responsabile dovrà garantire che gli obblighi

contenuti nel proprio contratto per il trattamento dei dati

sottoscritto con il titolare vengano rispecchiati nel contrat-

to che stipula con il subappaltatore.Tale circostanza tuttavia

non comporta alcuna limitazione della responsabilità che il

fornitore ha nei confronti del titolare per i trattamenti che

gli sono stati affidati e che sono stati da esso subappaltati.

del trattamento a un codice di condotta approvato o a

un meccanismo di certificazione approvato può essere

utilizzata come elemento per valutare il rispetto degli

obblighi da parte del responsabile del trattamento e

costituire pertanto uno dei molteplici parametri di ga-

ranzia che un titolare potrà valutare positivamente in

un fornitore. Il Regolamento offre in questo modo una

via facilitata sia per i fornitori (che potranno così dimo-

strare la propria affidabilità nei confronti dei clienti), sia

per le imprese (che potranno selezionare più facilmente

un fornitore che presenta garanzie sufficienti in materia

di protezione dei dati personali) nella dimostrazione del

rigore applicato nella gestione dell’affidamento del trat-

tamento dei dati personali.

A oggi vi sono alcuni codici di condotta (specie nel set-

tore del cloud computing) che già si prestano a essere

approvati ai fini del Regolamento. Resta inteso che un

fornitore comunque potrà fornire idonee garanzie an-

che in mancanza di certificazioni o adesioni a codici di

condotta: come per i titolari, sarà la dimostrazione della

propria accountability (responsabilizzazione nel tratta-

mento dei dati) da parte del fornitore a costituire il vero

parametro di riferimento.

2. Il controllo.

Altro elemento fortemente caratteriz-

zato nel Regolamento è il regime di controllo al quale il

titolare deve sottoporre il fornitore: se il titolare dovrà

attivarsi per dimostrare di aver vigilato in modo effet-

tivo ed efficace sull’operato dei responsabili del trat-

tamento, per verificare che il trattamento avvenga nel

rispetto della normativa e delle istruzioni che il titolare

ha fornito, il responsabile dovrà a sua volta farsi parte

attiva nel collaborare con il titolare per dimostrare che

il proprio trattamento sia stato effettuato in modo cor-

© iStock - ArtemSam

segue da pagina 74

1 41 42 43 44 45 46 47 48 49 50 51 52 53  FlippingBook