Quando si tratta il tema dei fornitori che devono essere inquadrati come “Responsabili del trattamento” raramente si affrontano i criteri di prequalifica (valutazione inziale prima dell’avvio del rapporto contrattuale) e di qualifica nel tempo (valutazione dinamica). Descriviamo qui alcuni dei criteri necessari per valutare un potenziale Responsabile, prima di affidargli uno o più trattamenti, ponendo l’accento sugli aspetti riguardanti la protezione dei dati personali.
La qualifica e la valutazione del fornitore – La qualifica di un fornitore, nel ruolo di potenziale Responsabile del trattamento, avviene in due step:
- qualifica inziale, ovvero prima della sottoscrizione del rapporto contrattuale: si valuta se la controparte fornisce quanto richiede l’art. 28 par. 1) del GDPR “…ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato….”
- qualifica dinamica ovvero ad intervalli di tempo nel corso del rapporto: si valuta se il fornitore, una volta che il rapporto è stato contrattualizzato, continua a fornire le garanzie richieste e adempie a quanto previsto contrattualmente.
Come misure di accountability (responsabilizzazione) è opportuno prevedere che:
- i criteri di qualifica, sia iniziale che dinamica, siano descritti in procedure contenute nel sistema di gestione del Titolare;
- la documentazione a supporto della scelta effettuata dal Titolare sia conservata per dare riscontro a quanto richiesto, ad esempio in sede di audit e/o di ispezione.
La messa in atto di tali misure serve a fornire un riscontro tangibile a quanto richiede il Regolamento UE 2016/679, nel sopraccitato articolo, laddove utilizza, in modo specifico, l’avverbio “unicamente”.
Criteri di valutazione dei Responsabili del trattamento: qualifica inziale – I criteri di qualifica iniziale di un fornitore, non necessariamente di un Responsabile, si basano su un’ampia serie di fattori: economici, reputazionali, in alcuni casi anche logistici (ad esempio nel caso di fornitura di servizi di assistenza informatica, che non sempre possono essere erogati a distanza). Tra i criteri di qualifica iniziale da considerare, alcuni sono specifici del caso in cui il fornitore si configuri come Responsabile del trattamento. Tali criteri si basano su elementi che possono prevedere:
- elementi di qualifica che può esibire il potenziale fornitore;
- elementi di qualifica che può ottenere il Titolare in modo diretto;
- elementi di qualifica che può ottenere il Titolare in modo indiretto.
In primis, i criteri si devono basare su quanto si richiede nel Considerando 81 del GDPR, ove recita che il Titolare “ … ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento. L’applicazione da parte del responsabile del trattamento di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare il rispetto degli obblighi da parte del titolare del trattamento….”.
Elementi di qualifica che può esibire il potenziale fornitore:
- posizione di leadership/monopolio sul mercato, legami ed interdipendenze con altre società leader di mercato;
- reputazione a livello nazionale/internazionale;
- certificazione del sistema di gestione qualità a fronte della UNI EN ISO 9001; essa assicura il possesso di procedure volte a dare evidenza del rispetto dei requisiti definiti contrattualmente e quindi del rispetto delle esigenze espresse dal Titolare del trattamento;
- certificazione del sistema di gestione della sicurezza delle informazioni ISO/IEC 27001; essa garantisce una serie di misure, attuate tramite controlli, sulla capacità del fornitore di garantire riservatezza, disponibilità ed integrità dell’insieme dei dati trattati per conto del cliente e considera, in caso di perdita di tali garanzie, gli impatti e le conseguenze a lungo termine sull’organizzazione;
- certificazione del sistema di gestione della sicurezza delle informazioni ISO/IEC 27701 – garantisce una serie di misure, attuate tramite controlli, sulla capacità del fornitore, in caso di perdita di riservatezza, integrità e disponibilità, di tenere sotto controllo la sicurezza dei dati personali riguardo agli impatti sugli interessati, in relazione ai loro diritti e libertà;
- altre certificazioni come ad esempio lo schema di certificazione ISDP©10003 (valutazione di conformità GDPR);
- capacità di dare riscontro a quanto previsto dal considerando 77 del GDPR, laddove recita “…l’individuazione di migliori prassi per attenuare il rischio [sui dati che potrebbero essere trattati dal Responsabile per conto del Titolare], che potrebbero essere fornite in particolare mediante codici di condotta approvati, certificazioni approvate, linee guida fornite dal comitato o indicazioni fornite da un responsabile della protezione dei dati….”;
- esperienza specifica nel settore in cui opera il Titolare, attestata da referenze documentate; questo elemento è particolarmente qualificante nel caso in cui il Titolare operi in ambiti che presentano delle peculiarità (settore, tipo di dati trattati e/o loro quantità).
Elementi di qualifica che può ottenere il Titolare in modo diretto
- raccolta di informazioni tramite questionari compilati dal potenziale fornitore (riguardanti anche le capacità tecnologiche e l’eventuale ricorso a sub-fornitori);
- documentazione a supporto della capacità, da parte del fornitore, di dare riscontro alle misure tecniche ed organizzative richieste dal Titolare del trattamento, come ad esempio esiti di test condotti da terze parti indipendenti;
- competenze specifiche e documentate del personale che verrebbe autorizzato ad operare sui dati del Titolare e più in generale, competenze delle funzioni di staff (es. Privacy Officer) o di quelle di controllo (DPO);
- raccolta di informazioni tramite analisi di procedure (es. data breach) o altri documenti che il potenziale fornitore può rendere disponibili;
- risultanze della attività di audit di 2^ parte sia sul sistema di gestione che sulla conformità legislativa, risultanze sulla base delle quali trarre conclusioni sulla capacità del potenziale fornitore di soddisfare le esigenze del Titolare;
- risultanze di uno o più incontri conoscitivi del Titolare del trattamento o suo delegato con il Referente privacy del fornitore e/o altre funzioni aziendali e/o del DPO, anche se, per quest’ultima figura, si tratterebbe di un’attività che non rientra in modo stretto tra i compiti affidati al Responsabile della protezione dei dati personali.
Elementi di qualifica che può ottenere il Titolare in modo indiretto
- ricerca, su siti ed altre fonti specializzate, compreso i siti del Garante Privacy e quello dello stesso fornitore, per scorgere eventuali situazioni critiche in cui il potenziale fornitore possa essersi trovato, come ad esempio casi di data breach ed altre violazioni, provvedimenti a suo carico, ecc.;
- la presenza di un Ufficio Privacy, di un DPO e di uno staff a supporto.
Conclusione – Per quanto, di volta in volta possono essere considerati ed utilizzati strumenti diversi per la valutazione dei potenziali fornitori che dovranno assumere il ruolo di Responsabile del trattamento, sono disponibili soluzioni varie per poter valutare, in anticipo, la loro capacità di poter soddisfare, una volta sottoscritto il contratto, le esigenze del Titolare. Fondamentale è scegliere quelli idonei sulla base del contesto e della reale possibilità del Titolare di poter incidere sulle politiche del fornitore che, in molti casi, si trova in posizione dominante.
Fonte: FEDERPRIVACY