Responsabili del trattamento: come valutarli

Posted onAuthorStefano BendandiLeave a comment

I responsabili del trattamento costituiscono un ambito nel quale il GDPR (Reg. UE 679/2016) ha portato delle grandi novità.

Il responsabile tratta i dati personali per conto del titolare. E’ un ruolo che i fornitori di servizi e prodotti correlati ad uno o più trattamenti possono essere chiamati ad assumere.

La normativa richiede che il titolare del trattamento ricorra soltanto a responsabili del trattamento che offrano garanzie sufficienti (art. 28, par. 1).

Secondo la norma, la sufficienza delle garanzie è richiesta per adottare le misure di protezione adeguate per:

  • soddisfare i requisiti normativi,
  • tutelare i diritti e le libertà degli interessati

Tuttavia, la norma non dice quali siano i criteri per valutare la sufficienza delle garanzie. Il considerando 81 del GDPR ci aiuta e indica, in particolare, tre aspetti:

  • la conoscenza specialistica,
  • l’affidabilità,
  • le risorse 

Al titolare spetta l’onere di verificare che il responsabile possieda tutte e tre queste caratteristiche.  

Questo post vuole offrire degli spunti utili per costruire una strategia per  effettuare valutazioni  di questo tipo.

Per la violazione dell’art. 28 è stabilita una sanzione fino ad un massimo di 10 milioni di euro o al 2% del’ultimo fatturato totale annuo.

Non è ben chiaro se la sanzione possa interessare anche la scelta di un responsabile che non offra garanzie sufficienti. Al momento, questa ipotesi non è da scartare del tutto.

Ma se anche lo fosse, al titolare potrebbe essere contestata una colpa nella scelta del responsabile (culpa in eligendo).

Codici di condotta e schemi di certificazione

L’adesione del responsabile del trattamento ad un codice di condotta o ad un meccanismo di certificazione può essere usata per comprovare la sufficienza delle garanzie che offre (art. 28, par. 5).

In questi casi può essere utile approfondire se ed in che modo l’ambito dello schema di condotta o di certificazione copra i trattamenti che il responsabile effettuerà per conto del titolare.

Ma che fare quando il responsabile non aderisce ad uno schema di condotta o di certificazione?

Come valutare la conoscenza specialistica

La conoscenza specialistica riguarda, innanzitutto, la normativa del GDPR e sulla privacy.

Ma anche la conoscenza di standard e best practice sulla sicurezza delle informazioni rientra in questo ambito.

Il possesso di una conoscenza specialistica da parte del responsabile può essere accertato:

  • valutando la sensibilità che il responsabile dimostra rispetto alle tematiche di privacy e sicurezza,
  • verificando se ed in che modo il responsabile sia in grado di dimostrare la conformità al GDPR dei processi interni della propria organizzazione, soprattutto per quegli aspetti più direttamente collegati alla responsabilità dell’art. 28

Può essere utile, a tal fine, partire dalle informazioni contenute nella politica generale di privacy e sicurezza del responsabile.

Oppure dai risultati di audit che il responsabile può aver affidato a terze parti indipendenti.

Il possesso di una conoscenza specialistica può anche essere comprovato anche in altri modi.

Ad esempio, mediante dichiarazioni del responsabile o garanzie specifiche incluse nell’atto di nomina.

Come valutare affidabilità e risorse dei responsabili del trattamento

I criteri dell’affidabilità e delle risorse sono strettamente collegati.

L’affidabilità va valutata, innanzitutto, dal punto di vista economico. Se il responsabile non stanzia un budget adeguato, è difficile parlare di affidabilità.

Oltre alla dimensione economica, l’affidabilità ha anche una dimensione organizzativa e tecnologica

  • Qual’è il modello organizzativo privacy adottato dal responsabile?
  • Questo modello prevede al suo interno un ruolo di responsabile della sicurezza o di responsabile privacy?
  • Con che frequenza i dipendenti del responsabile ricevono una formazione specifica?
  • Il responsabile richiede ai suoi dipendenti un impegno specifico in termini di riservatezza?
  • Con che frequenza e in che misura il responsabile si avvale di eventuali sub-responsabili? 
  • Il responsabile ha svolto un analisi dei rischi e/o valutazioni d’impatto dei trattamenti?
  • Quali sono le misure di sicurezza che il responsabile ha deciso di adottare per gestire i rischi relativi alla privacy?
  • L’organizzazione ha adottato strumenti e meccanismi per identificare con tempestività le violazioni di sicurezza (data breach)?
  • Il responsabile si è premurato di adottare delle procedure per gestire le violazioni di sicurezza (data breach) ?

Lo scopo di tali domande è di facilitare l’acquisizione di informazioni utili a valutare le garanzie che il responsabile offre.

Successivamente queste informazioni possono anche confluire nell’atto di designazione, sotto forma di dichiarazioni del responsabile o di garanzie specifiche.

Iscriviti alla nostra newsletter e unisciti agli altri.
Proteggiamo la riservatezza dei tuoi dati e li utilizziamo solo per inviarti la newsletter. Se hai dato il consenso i tuoi dati saranno utilizzati anche per finalità di marketing e comunicazione commerciale. I tuoi dati saranno condivisi soltanto con i fornitori di servizi essenziali che permettono l'invio della newsletter e di altre comunicazioni. Per maggiori informazioni consulta la Privacy Policy
Do il consenso per trattare i miei dati personali a scopo di marketing
Condividi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.