ROKH TIPS - Adempimenti privacy: nomina a responsabile del trattamento (parte II)
Abbiamo già trattato in una precedente ROKH TIPS il rilievo essenziale della nomina a responsabile del trattamento come adempimento richiesto dall’art. 28 GDPR ogni qual volta si coinvolga un soggetto terzo nel trattamento di dati personali di cui si è titolari.
Come visto, la normativa richiede che il responsabile presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti del GDPR. Il problema che spesso ci si trova ad affrontare è come, nel concreto, si possa verificare che il soggetto da nominare presenti effettivamente dette garanzie.
Oltre agli aspetti contrattuali legati al contenuto dell’atto di nomina (noto come Data Processing Agreement), è fondamentale mettere in piedi delle idonee verifiche pre-contrattuali, per evitare di nominare soggetti non idonei, esponendosi così a rischi sanzionatori.
In genere, si prendono in considerazione due alternative:
(i) un vero e proprio audit privacy pre-nomina, da effettuare nei confronti di tutti i potenziali fornitori che si stanno valutando per l’incarico; e
(ii) l’invio di un approfondito questionario legato al trattamento oggetto dell’incarico, in cui tramite un sistema di domande incrociate, si è in grado di poter valutare con contezza l’effettiva compliance privacy del potenziale fornitore.
Nella prassi operativa, è evidente che il processo di audit, più costoso e complesso, dovrà essere effettuato in caso di esternalizzazione di trattamenti particolarmente rilevanti e complessi, magari con aspetti più “fisici” da tenere in considerazione (ad es., verifica delle misure fisiche di sicurezza di sale server).
D’altro canto, l’uso di questionari – ove effettivamente ragionati e predisposti in funzione del trattamento in relazione a cui si vuole conferire l’incarico – possono essere un utile (ma non esclusivo) strumento di accountability in grado di rafforzare le tutele contrattuali, soprattutto ove allegati al contratto e posti come presupposto della nomina stessa, chiaramente a corredo di idonee clausole di dichiarazioni e garanzie.
Come sempre, nell’universo complesso della normativa privacy, la cosa importante è che non ci si limiti a una paper- compliance, andando sempre a scavare per comprendere i rischi dei trattamenti e l’effettiva compliance dei propri possibili fornitori. E per i fornitori di servizi, è importante ricordare che ormai la capacità di soddisfare i requisiti richiesti dal GDPR è un vero e proprio fattore competitivo.