Il controllo della filiera del trattamento

Pubblicato· Aggiornato

statistiche-audit

Unproblemacui spesso non pone attenzione iltitolare del trattamentodi dati personali, è quella dellafiliera del trattamento.

Il titolare, infatti, dopo aver delegato una parte del trattamento a unresponsabile(il consulente, il fornitore di servizi, etc), ritiene di non doversi curare del rispetto, o meno, da parte di questi, dellenorme sulla privacy.

Il Regolamento Generale sulla Protezione dei Dati Personali (GDPR) n. 679/2016, invece, stabilisce tutt’altro.

In particolare, l’articolo 28 del GDPRresponsabilizza a tutti gli effetti il titolare del trattamentorispetto alla scelta del propriodelegato.

«Qualora un trattamento debba essere effettuato per conto del titolare del trattamento– prevede il Regolamento –, quest’ultimoricorre unicamente a responsabili del trattamento che presentino garanzie sufficientiper mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato».

Un contratto per vincolare la filiera del trattamento dei dati

Affinché tale condizioni trovino concreta attuazione, occorre che il titolare stipuli col responsabile «un contratto o un altro atto giuridico» col quale «vincoli il responsabile del trattamento al titolare del trattamento».

In tale documento, si dovrà prevedere che:

  • «la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personalie le categorie d’interessati, gli obblighi e i diritti del titolare del trattamento»,
  • «il responsabile del trattamento trattii dati personalisoltanto su istruzione documentata del titolare del trattamento»,
  • il responsabile del trattamento «garantisca che le persone autorizzate al trattamento dei dati personaliabbiano un adeguato obbligo legale di riservatezza»,
  • «adotti tutte le misure[…]per garantire un livello di sicurezza adeguato al rischio»,
  • «il responsabile del trattamento non ricorra a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento»,
  • «metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi» del GDPR, nonchéconsenta ispezionio attività di revisioni a cura del titolare «o da un altro soggetto da questi incaricato»,
  • «su scelta del titolare del trattamento,cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizirelativi al trattamento e cancelli le copie esistenti».

Contratto ed Audit per tutelare il titolare dalle violazioni dei dati

Il titolare del trattamentonon può nascondere le proprie responsabilità in caso di violazione dei dati personali causati dal suo delegato avuto riguardo ai vincoli del responsabile rispetto al titolare nonché ai poteri d’ispezione di quest’ultimo.

E’ quindi chiarala necessità, per il titolare, di stipulare un buon contratto tra le parti, nonché disvolgere periodica attività di audit, ovvero di monitoraggio, delle modalità di trattamento dei dati da parte del responsabile designato.

Credits:Photo byWilliam IvenonUnsplash

Tag:

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.I campi obbligatori sono contrassegnati*