La normativa vigente in termini di Protezione dei Dati Personali il “GDPR”, costituita dal Regolamento UE 679/2016 e dal D. Lgs. 196/2003 (modificato dal D. Lgs. 101/2018), ha come obiettivo quello di proteggere i dati personali degli interessati al fine di evitare che un uso scorretto delle informazioni possa danneggiare o ledere le libertà fondamentali e la dignità di questi.

Tra i tanti temi che la normativa affronta, oggi ci poniamo le seguenti domande: come possiamo proteggere i dati personali nel processo di gestione dei fornitori? Cosa ha comportato nell’ambito della gestione dei fornitori la normativa privacy? Come deve comportarsi un titolare del trattamento per raggiungere la necessaria Compliance prevista dal Regolamento Europeo?

Da un punto di vista normativo, i riferimenti principali per la gestione del rapporto con un fornitore sono i seguenti articoli:

• art. 4 del GDPR, in cui si definisce Responsabile del trattamento “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”;
• art. 28 del GDPR, “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato”.

La gestione dei fornitori, sia consolidati con precedenti contratti sia potenziali, secondo la normativa privacy prevede un vero e proprio processo di valutazione del rischio, ossia una serie di attività, che permette al titolare il raggiungimento in termini di compliance GDPR. Vediamo in dettaglio le singole fasi.

Classificazione

In primis, sarà opportuno procedere con una classificazione dei fornitori, al fine di identificare quelli che trattano dati personali per nome e per conto del titolare del trattamento. Anche prima e durante i processi di acquisizione ed erogazione del servizio, in quanto, in relazione alla natura dei servizi offerti, potranno accedere al patrimonio informativo aziendale, introducendo potenziali rischi informatici ed organizzativi, con impatto, in particolare, su riservatezza, integrità, disponibilità ed autenticità dei dati.

Valutazione

Successivamente, individuati i fornitori/responsabili del trattamento, si dovrà effettuare la valutazione dell’affidabilità del fornitore in termini di verifica di requisiti oggettivi, ossia di “garanzie sufficienti” della presenza di misure tecniche ed organizzative di sicurezza adeguate e di garanzia dei diritti dell’interessato. Gli strumenti utilizzati dal titolare per la valutazione potranno essere diversi: checklist, presenza di certificazioni adeguate, dichiarazioni, specifiche tecniche. Qualora il risultato della valutazione delle misure di sicurezza non sia soddisfacente, il titolare potrà riservarsi di far apportare misure correttive al fornitore, al fine di garantire la tutela dei diritti degli interessati.

Designazione responsabile del trattamento

Successivamente alla fase di valutazione, vi sarà la sottoscrizione del contratto di acquisizione e, nel contempo, la predisposizione dell’Accordo sulla Protezione dei Dati, ossia l’Atto di designazione del Responsabile del Trattamento, da sottoscrivere con il fornitore contestualmente alla firma del contratto, previo parere positivo del DPO.

Verifica e valutazione di impatto

La gestione del fornitore in termini di privacy prevede una verifica operativa nel tempo della conformità del servizio, pertanto, il titolare dovrà effettuare opportune verifiche/audit periodiche relative all’adeguatezza delle misure di contenimento del rischio previste nei confronti dei propri fornitori.

Inoltre, qualora il titolare, tenuto conto della natura del trattamento che andrà ad effettuare il fornitore, sia tenuto ad effettuare la valutazione di impatto sulla protezione dei dati, ai sensi dell’art. 35 del Regolamento, il fornitore dovrà offrire collaborazione e fornire tutte le informazioni necessarie per la suddetta valutazione e dovrà anche collaborare nel caso in cui si debba attuare una eventuale consultazione preventiva al Garante, sensi dell’art. 36 del Regolamento stesso.

Conclusioni

Tutto quanto premesso, la figura del fornitore (responsabile del trattamento) che emerge dal Regolamento è piuttosto complessa, quindi, risulta necessario che il titolare riveda sia i contratti posti in essere prima del GDPR, sia i successivi e li basi su un’attenta valutazione del rischio che può generare il trattamento dei dati. Pertanto, una mera lettera di nomina/contratto per la designazione del responsabile del trattamento che non valuti concretamente la presenza di tutte le misure di sicurezza necessarie per la tutela dei dati trattati in nome e per conto del titolare, espone l’interessato a possibili rischi e non è minimamente conforme a quel concetto di accountability di cui tanto si parla nel GDPR e descritto all’art. 24.

Dunque, la gestione del processo di classificazione e valutazione del fornitore, e la designazione del responsabile del trattamento, vanno affrontate in un’ottica integrata di gestione di un sistema di protezione dei dati in cui diventa fondamentale la competenza specifica di un soggetto interno alla organizzazione o un’adeguata consulenza privacy fornita da specialisti del settore, al fine di non trovarsi esposti a violazioni e conseguenti sanzioni.

Area Qualità – Chiara Rosica