Quando può succedere?
In molte occasioni si sottolinea l’importanza, per un’azienda, di “mettere per iscritto” i numerosi obblighi, impegni e adempimenti che un fornitore è tenuto a rispettare per fare in modo che i trattamenti che gli siano affidati siano conformi. Va però ricordato che non ci sono solo obblighi, perché di fatto esiste anche un importante divieto “generale” che ha notevoli conseguenze pratiche in caso di violazione.
Come noto il complesso delle attenzioni che un titolare deve porre tutte le volte che affidi un incarico “all’esterno”, ad un fornitore, un consulente, un provider e questo incarico comporti anche un trattamento di dati personali (nell’ampio senso che entrambe le definizioni comprendono), è stabilito, in via generale, dall’art. 28 del Gdpr.
Sovente, però, alcune organizzazioni dimenticano che l’ultima parte di tale articolo prevede che se un responsabile non adempie al regolamento, oppure viola gli obblighi impostigli dal titolare, diviene, egli stesso, un titolare.
Cosa significa tutto questo nella realtà di tutti i giorni?
Semplicemente che se un “fornitore”:
▶️ tratta i dati personali che “ha ricevuto” da un altro ente per scopi propri,
▶️ se agisce in modo incompatibile con le istruzioni ricevute, o
▶️ se esegue operazioni cui il titolare non ha acconsentito o, ancora,
▶️ non sono strettamente funzionali e connesse al compito ricevuto,
il responsabile sarà considerato un titolare, con tutte le conseguenze (negative) che ne derivano.
Questi sono aspetti cruciali che non andrebbero sottovalutati.
#Gdpr #Protezionedati #Compliance #Privacy #Dataprotection
Image: ChatGPT