Dobbiamo preoccuparci di come i nostri Fornitori trattano i dati personali? La risposta è: sì, certamente!
IL GDPR si “preoccupa” della sicurezza relativa ai trattamenti dei dati personali su tutta la filiera del trattamento anche quando ci appoggiamo ad un fornitore per la prestazione di uno o più servizi che prevedono l’utilizzo di dati personali. Caso emblematico: il consulente del lavoro che predispone i cedolini dei nostri dipendenti.
Cosa dice il GDPR?
L’art. 28 del GDPR, al riguardo, è molto chiaro: “Qualora un trattamento debba essere effettuato per conto del Titolare del trattamento, quest’ultimo ricorre unicamente a Responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.”
Pertanto, il Fornitore che tratta dati per conto nostro prende il nome di Responsabile del trattamento.
Tradotto: se nella prestazione dei servizi, il nostro Fornitore deve trattare dati per conto nostro, ci dobbiamo preoccupare che questi dati siano in buone mani, ovvero che il Fornitore rispetti la normativa privacy di riferimento, diversamente saremmo noi a risponderne.
In concreto che fare?
Per sapere cosa fare col nostro Fornitore, a cui dobbiamo affidare dei dati personali affinché ci possa prestare i servizi di cui al contratto in essere, dobbiamo passare al comma 3 dello stesso articolo 28, ovvero: stipulare un contratto che disciplini tutti i trattamenti che il Fornitore deve effettuare. Per la precisione, un contratto ad hoc che “vincoli il Responsabile del trattamento al Titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del Titolare del trattamento”
Come e quando designare il Fornitore Responsabile del trattamento?
Come tutto ciò che è misure di sicurezza, la risposta è sempre: prima del trattamento. Dobbiamo, pertanto, avere la designazione a Responsabile del trattamento regolarmente datata e firmata dal Fornitore prima di condividere con lui dati personali che trattiamo.
Vediamo il contenuto minimo del contratto da inviare, ovvero: il contratto deve garantire che il Fornitore:
- tratti i dati personali soltanto su nostra istruzione documentata;
- garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- adotti tutte le misure richieste ai sensi dell’articolo 32 GDPR;
- rispetti le condizioni di cui ai paragrafi 2 e 4 dell’articolo 28 GDPR prima di ricorrere a un altro Responsabile del trattamento;
- tenendo conto della natura del trattamento, ci assista con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare il nostro obbligo di dare seguito alle richieste per l’esercizio dei diritti dell’interessato;
- ci assista inel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento;
- su nostra scelta, cancelli o restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e
- metta a nostra disposizione tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal Titolare del trattamento o da un altro soggetto da questi incaricato.
Qualche esempio di Fornitori Responsabili del trattamento
Di seguito i tipici Fornitori che, nella stragrande maggioranza dei casi, devono essere designati Responsabili del trattamento prima che inizino a prestarci i loro servizi:
- Consulente del lavoro per la predisposizione delle buste paghe
- Amministratore/manutentore del sistema informatico
- Manutentore del sistema di videosorveglianza
- Società di sorveglianza che accede al nostro sistema di videosorveglianza
- Gestore del sito web aziendale
- Società che erogano formazione al nostro Personale
- Commercialista
- Consulenti che hanno necessità di accedere ai nostri dati personali per svolgere la loro attività di consulenza
- Stampatore dei biglietti da visita
In conclusione: il GDPR non perdona!
Non possiamo delegare trattamenti di dati personali senza preoccuparci del fattore sicurezza. In quanto Titolari del trattamento, risponderemo sempre di violazioni di sicurezza che impattano sui dati personali che gli Interessati ci hanno affidato. In presenza di una designazione a Responsabile del trattamento, se la violazione è a quest’ultimo imputabile, potremo, però, rivalerci sul Fornitore e, perlomeno, limitare il danno economico subito.