GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/723/01.jpg
giovedì 12 gennaio 2023
di Dott. Alesssandro Mammoli
Conformità al GDPR e gestione esterna dei dati: il titolare del trattamento è responsabile dei dati, anche se elaborati da terzi.
Alcune aziende si avvalgono dei servizi di terzi per trattare tutti o parte dei dati personali necessari per la propria attività lavorativa. Mi sono reso conto, trattando coi nostri clienti, che spesso non è chiaro, in casi di esternalizzazione del trattamento dati, chi sia responsabile verso questi e quale sia la "postura" corretta per trattarli in conformità al GDPR.
Penso sia utile iniziare, quindi, da un concetto tanto semplice quanto centrale per il GDPR. Il titolare del trattamento dei dati ha il dovere di avere il controllo sulle informazioni personali che tratta. Che si parli di dati personali di clienti, di fornitori, di dipendenti, di collaboratori poco conta: ha il dovere di sapere rispetto ai dati, chi li tratta, quali sono, come sono trattati, dove sono, per quanto tempo saranno conservati. Insomma, il titolare del trattamento deve sapere tutto e questo tutto comprende anche quei dati affidati agli esterni. Insomma, il fatto che i dati personali siano in gestione esterna non svincola il responsabile del trattamento da alcun obbligo.
Scendiamo nel concreto: il responsabile del trattamento dati ha affidato ad un responsabile esterno parte o tutti i dati che tratta. Il titolare del trattamento deve decidere come trattare tali dati e mantenerne il controllo e questo vale sia per i dati trattati all'interno della sua organizzazione sia per quelli trattati all'esterno. Ne consegue che deve sapere come trattano i dati quei responsabili esterni ai quali ha delegato alcune attività. Ecco che il titolare del trattamento deve verificare che i responsabili esterni siano conformi al GDPR e verificare, inoltre, che la conformità sia mantenuta. Al momento di delegare le attività è fondamentale mettere nero su bianco ruoli e responsabilità.
Per approfondire > GDPR e Marketing: il committente delle campagne risponde anche per le società terze
I responsabili esterni, invece, hanno aluni diritti e alcuni doveri:
Per quanto decisamente stringente nei suoi contenuti e nella disciplina, a cominciare dalle sanzioni, il regolamento Europeo in materia di protezione dati personali, lascia di fatto liberi i singoli operatori nella scelta sul come adeguarsi al GDPR. Salvo poi porre con vigore l´accento sulla ”responsabilizzazione" (accountability nell' accezione inglese) di titolari e responsabili. Ergo, se in teoria non vengono dettate regole rigorose cui uniformarsi, in concreto ogni Titolare del Trattamento dovrà porre in essere ogni comportamento necessario e opportuno e predisporre le dovute cautele e gli accorgimenti atti a dimostrare la concreta adozione delle misure finalizzate ad assicurare l´applicazione del regolamento. Ciò a livello tecnico e legale. Con ampio margine di autonomia i Titolari, insieme ai loro Responsabili nominati e DPO, dovranno decidere modalità, garanzie e limiti del trattamento dei dati personali alla luce di criteri specifici.
Per sapere di più > L'accountability ai sensi del GDPR
Dal GDPR emerge un quadro di rapporti tra titolare e responsabili esterni del trattamento che si sviluppa dall'alto al basso. L'origine sta cioè nel responsabile del trattamento, ma la conformità al GDPR viene costruita estendendo la responsabilità verso il basso, di pari passo alle attività che vengono delegate. Ecco che il GDPR norma i rapporti che devono attivari entro questa "piramide" organizzativa:
Faccio una doverosa premessa: i casi di "delega" del trattamento a terzi possono essere infiniti. Ne consegue che non esiste un protocollo applicabile sempre e comunque e adatto a tutti i contesti. Ecco perchéè non propongo il solito "la conformità in dieci passi", ma mi limito a fornire alcuni spunti "necessari ma non sufficienti":
In tutto questo il punto principale da tenere a mente è uno: le dichiarazioni di intenti, nel GDPR, non trovano casa. Non conta dichiarare buoni principi, quello che davvero conta è poter dimostrare la conformità al regolamento. Insomma, con il GDPR, le "chiacchiere stanno a zero", mentre conta la concretezza dei contratti, delle policy, delle procedure di trattamento ecc...
mercoledì 20 settembre 2023
martedì 5 settembre 2023
CONDIVIDI QUESTA PAGINA!