Il controllo della filiera del trattamento

statistiche-audit

Un problema cui spesso non pone attenzione il titolare del trattamento di dati personali, è quella della filiera del trattamento.

Il titolare, infatti, dopo aver delegato una parte del trattamento a un responsabile ( il consulente, il fornitore di servizi, etc ), ritiene di non doversi curare del rispetto, o meno, da parte di questi, delle norme sulla privacy.

Il Regolamento Generale sulla Protezione dei Dati Personali ( GDPR ) n. 679/2016, invece, stabilisce tutt’altro.

In particolare, l’articolo 28 del GDPR responsabilizza a tutti gli effetti il titolare del trattamento rispetto alla scelta del proprio delegato.

« Qualora un trattamento debba essere effettuato per conto del titolare del trattamento – prevede il Regolamento –, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato ».

Un contratto per vincolare la filiera del trattamento dei dati

Affinché tale condizioni trovino concreta attuazione, occorre che il titolare stipuli col responsabile « un contratto o un altro atto giuridico » col quale « vincoli il responsabile del trattamento al titolare del trattamento ».

In tale documento, si dovrà prevedere che:

  • « la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie d’interessati, gli obblighi e i diritti del titolare del trattamento »,
  • « il responsabile del trattamento tratti i dati personali soltanto su istruzione documentata del titolare del trattamento »,
  • il responsabile del trattamento « garantisca che le persone autorizzate al trattamento dei dati personali abbiano un adeguato obbligo legale di riservatezza »,
  • « adotti tutte le misure […] per garantire un livello di sicurezza adeguato al rischio »,
  • « il responsabile del trattamento non ricorra a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento »,
  • « metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi » del GDPR, nonché consenta ispezioni o attività di revisioni a cura del titolare « o da un altro soggetto da questi incaricato »,
  • « su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti ».

Contratto ed Audit per tutelare il titolare dalle violazioni dei dati

Il titolare del trattamento non può nascondere le proprie responsabilità in caso di violazione dei dati personali causati dal suo delegato avuto riguardo ai vincoli del responsabile rispetto al titolare nonché ai poteri d’ispezione di quest’ultimo.

E’ quindi chiara la necessità, per il titolare, di stipulare un buon contratto tra le parti, nonché di svolgere periodica attività di audit, ovvero di monitoraggio, delle modalità di trattamento dei dati da parte del responsabile designato.

Credits: Photo by William Iven on Unsplash

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *