Set 19, 2023 | Data Protection

Quante responsabilità!

 

Affidare ad un soggetto esterno alla propria organizzazione attività che comportano il trattamento di dati personali, sia esso un soggetto fisico o una società, oppure un’applicazione tecnologica che elabori le informazioni, comporta diverseresponsabilità.

Si sta infatti, tecnicamente, utilizzando, nominando o incaricando un cosiddetto Responsabile del trattamento. Sembra un gioco di parole ma non lo è: la definizione, in lingua inglese, del “fornitore” di una prestazione o di un servizio, ossia di un responsabile, nel quale vi è affidamento di dati personali, è molto più intuitiva: si individua un processor che, effettivamente, processa o elabora dati per conto del titolare, il controller. Un atto che genera responsabilità su entrambi. Di qui il gioco di parole.

Quando si vuole chiudere un contratto, si sia in veste di commerciale piuttosto che titolare dell’azienda, si guardano soprattutto i costi, i benefici e le tempistiche del closing.

Il più delle volte gli allegati (salvo gli economics), sono tralasciati e spesso si vedono “annex” con parti lasciate addirittura in bianco, perché ritenute meno importanti.

 

E’ una prassi comune, ma è importante sapere che alcuni di questi allegati, quando sono relativi al trattamento dei dati, contengono impegni notevoli.

Il nucleo e la sostanza di questi impegni sono descritti nell’art. 28 del Gdpr. 

 

 

Oltre al fatto che si dovrebbe, per esempio, poter documentare come si è scelto un fornitore e in base a quali criteri, si tratta di un allegato, o addendum, che dovrebbe (e spesso è così) contenere precise istruzioni su determinate azioni, per esempio su cosa si può e cosa non si può fare con i dati; come agire se qualche istruzione non fosse coerente con le norme (a conoscerle…); come comportarsi in caso di problemi e incidenti; quanto tempo può passare dal momento in cui il fornitore si accorge di avere subito un evento che coinvolge il trattamento di dati “non suoi” e la comunicazione del fatto al committente; che cosa, questa comunicazione, deve contenere, e così via.

Il più delle volte a queste obbligazioni è collegata una conseguenza che può comportare l’assunzione di rischi non da poco.

 

Per esempio, un aspetto importante, spesso ignorato o al quale si pensa solo dopo, è quello del “destino” dei dati in caso di risoluzione, scioglimento o mancato rinnovo del rapporto. Che fine faranno? Cosa succede in questo caso?

Sono domande che è bene farsi e a cui, negli allegati di cui si diceva, bisogna trovare risposta.

 

Come si diceva all’inizio, nominare un Responsabile è una responsabilità; tanto quanto esserlo.

 

#privacy #dataprotection #roles #processor