Data processor e data controller: quando il matrimonio non è l’unica relazione pericolosa
Chi di privacy ormai mastica qualcosa il giochino l’avrà già capito. Oggi parliamo di outsourcer, ovvero della gestione corretta dei rapporti tra Titolare del Trattamento e tutte le realtà esterne che trattano dati a lui affidati per suo conto, i Responsabili esterni del trattamento.
Quando si può parlare di Responsabile Esterno del Trattamento?
Nella ordinaria gestione delle società sono molti i casi in cui è necessario affidarsi a esterni per gestire particolari attività che altrimenti sarebbero troppo onerose o che richiederebbero uno specifico know-how. Ad esempio, tra gli altri, sono responsabili esterni del trattamento quelle aziende di servizi che si occupano con continuità di determinate attività riguardanti dati personali come può essere il caso di chi fornisce il gestionale, o di chi si occupa della rete informatica, dei backup o del sito internet, dello sviluppo e gestione di app specifiche. Il Responsabile del Trattamento per il Regolamento Europeo è dunque la persona fisica o giuridica che tratta dati personali per conto del Titolare del Trattamento con mezzi propri e per le finalità stabilite dal Titolare.
Come scegliere il partner giusto?
A seconda delle attività di trattamento e della tipologia di dati da affidare a un esterno non è sufficiente valutare la competenza specifica, ma è necessario anche verificare che sia in grado di offrire strumenti adeguati a proteggere i dati che gli sono affidati. Nel caso, ad esempio, scegliessimo di affidarci a una società di servizi cloud, potrebbe non essere sufficiente individuare l’azienda che offre il servizio al costo più basso o che dia il maggior spazio possibile per il nostro budget. E’ necessario anche verificare che abbiano sistemi di sicurezza e protezione tali da impedire accessi non autorizzati ai nostri dati, che abbiano dei sistemi per la verifica dell’integrità dei dati nel tempo, e che infine utilizzino server localizzati all’interno del territorio europeo, oppure in Paesi che diano adeguate garanzie per quanto inerente la tutela dei dati personali.
Per arrivare ad una scelta corretta è quindi importante imparare a farsi le giuste domande:
- Quali dati non posso realmente gestire e perché li sto dando a un esterno?
- Per quanto tempo li gestirà e cosa ne farà poi?
- Quali sono gli standard di sicurezza che ritengo adeguati?
- Sarà in grado di gestirli da solo, o dovrà ricorrere a sua volta a un sub-fornitore?
- Come posso controllare che si attenga alle mie direttive?
È obbligatorio stipulare un contratto con l’outsourcer?
Il GDPR rende obbligatorio un rapporto formalizzato da “…un contratto o da altro atto giuridico…” Ne stabilisce inoltre i contenuti tassativi che l’accordo deve prevedere. Quali sono? Sono esattamente le risposte alle domande poste nell’articolo, dedicate a scegliere il fornitore ideale. L’elenco preciso è disponibile all’art.28 del GDPR
Per concludere
Al centro di un mercato centrato sui servizi alla persona come quello legato alle soluzioni “smart”, può non essere sempre facile risalire la filiera delle responsabilità. Può accadere che al presentarsi del primo problema a pagarne le conseguenze sia proprio l’ultimo anello della catena (l’installatore, il vendor, il piccolo produttore, il progettista etc.). Per garantire un sistema funzionale e sicuro è quindi importante verificare di lavorare con partner seri, affidabili e consapevoli delle proprie responsabilità. Cercare e offrire qualità è il primo passo verso il successo.
FabioTrevisanato@ReggianiConsulting #PrivacyExpert