NEWSLETTER - IL CAFFE' DIGITALE
L’obbligo di ispezione sul Fornitore ICT

N.  Aprile 2021
        

a cura di Avv. Valentina Frediani 
General Manager, Colin & Partners

 

La valutazione dei fornitori in ambito informatico, a quasi tre anni dall’entrata del Regolamento, continua ad essere una nota dolente nelle aziende e nelle PA. Eppure, oltre all’obbligo previsto dall’Art. 28 del GDPR (dove indica specificatamente le “ispezioni” come strumento di controllo da parte del Titolare verso il Responsabile), appare evidente la necessità di monitorare le attività del Fornitore sui propri dati anche alla luce del fatto che, gli stessi, sono informazioni aziendali e debbono essere come tali tutelate nell’interesse del Titolare stesso.

Ripercorriamo che cosa prevede la norma, in modo da comprendere quali azioni dovrebbe attuare il Titolare del trattamento.

L’Art. 28 prevede al primo comma che “Qualora un trattamento debba essere effettuato per conto del Titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.” La forma mediante la quale debbono essere disciplinati i rapporti tra Titolare e Responsabile-Fornitore, è quella del contratto o di altro atto giuridico comunque normato dal diritto dell’Unione o degli Stati membri, in grado di vincolare il Responsabile del trattamento al Titolare.

Il contratto, oltre a disciplinare le modalità inerenti il trattamento, deve indicare: durata del trattamento, natura e finalità dello stesso; il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del Titolare del trattamento.

Il Titolare, ovviamente, resta il soggetto che dovrà rispondere in caso di violazione verso gli interessati da parte del Responsabile, ma ha a sua disposizione lo strumento dell’ispezione per poter controllare la coerenza delle azioni intraprese dal Responsabile rispetto a quanto stabilito contrattualmente.

Nel merito, l’ispezione può essere eseguita periodicamente ed avere come oggetto l’intero rapporto disciplinato oppure le parti ritenute particolarmente rischiose da parte del Titolare (ad esempio a seguito di un breach subito dal Responsabile su un determinato asset di dati).

Oggetto di ispezione debbono essere, senza dubbio, le modalità di attuazione delle misure di sicurezza ed organizzative che il Responsabile deve adottare per tutelare i dati e che costituiscono l’aspetto più nevralgico e delicato nel rapporto con il Titolare.

Su questo aspetto è ovvio che vi sono delle preventive valutazioni da fare: innanzitutto distinguere se il fornitore effettua il trattamento attraverso gli strumenti di cui viene dotato dal Titolare o in autonomia; nella prima ipotesi è ovvio che dovrà rispettare pedissequamente tutte le misure impostate dal Titolare ed eventualmente assumere iniziative laddove queste non siano sufficienti, comunicandolo al Titolare e provvedendo sulle sue indicazioni all’ implementazione.

Nella seconda ipotesi invece vi è un margine di autonomia maggiore in quanto, in generale, nel contratto vengono comunque indicate le misure da utilizzare ma le modalità di adozione, e di raggiungimento dell’efficacia di tali misure, sono rimesse oggettivamente al Responsabile, il quale dovrà non organizzarle e investire rispetto al livello di rischio sussistente.

Il Titolare, per effettuare l’ispezione, si può avvalere anche di un soggetto esterno al fine di garantire maggior terzietà rispetto agli elementi valutativi tenendo conto che eventuali scostamenti dalle indicazioni rilasciate al Responsabile rispetto a quanto lo stesso attua, potrebbero poi costituire oggetto di contestazione contrattuale oltre che esporre entrambe le parti ad una responsabilità sotto il profilo del rispetto del regolamento europeo per la protezione dei dati personali. L’ispezione può essere costituita da una simulazione che riproduca la modalità di controllo che verrebbe posta in essere dall’Autorità garante per la protezione dei dati personali oppure essere focalizzata – come avviene per gli audit – su alcuni aspetti anche preventivamente individuati ma finalizzata oggettivamente a verificare la concretezza di quanto realizzato da parte del Responsabile. È molto importante che, oltre alla rilevazione delle misure di sicurezza che sono state adottate, vi sia un’attenzione specifica per le misure organizzative che, in genere, sono molto sottovalutate e che, invece, sono quelle che danno efficacia alla reattività della struttura rispetto a quelle vicende che ne potrebbero caratterizzare la gestione del rischio.

In particolare, le procedure inerenti gestione del data breach e comunicazione al Titolare; riscontro all’esercizio dei dati personali; gestione delle autorizzazioni e degli amministratori di sistema che possono accedere ai dati personal. Allo stesso modo, tematiche quali sviluppo implementazione degli applicativi, applicazione dei termini di data retention e valutazione dei rischi, sono aspetti che indubbiamente debbono essere affrontati durante un’ispezione.

Il problema si potrebbe porre laddove l’esito dell’ispezione non sia soddisfacente; in questo caso il Titolare dovrà comprendere come andare a gestire i rapporti con il Responsabile; qui si aprono scenari diversi a seconda che il Responsabile fornitore sia strategico per il raggiungimento degli interessi di business del Titolare. In genere vengono valutati i rischi rispetto alle non conformità ed i tempi di attuazione, in modo da consentire al Responsabile di realizzare l’adeguamento e sanare la situazione. Laddove ciò non possa avvenire per indisponibilità del Responsabile stesso o per altre cause da lui imprescindibili, il Titolare dovrà valutare se accettare i rischi di non conformità (ed essere sanzionabile) o provvedere – come indica legislatore – alla sostituzione del Fornitore.

La tematica del controllo dei fornitori è dunque assolutamente sensibile: ottempera all’obbligo di legge ed al tempo stesso preserva i fornitori per la continuità operativa. Ricordiamo che delle ispezioni – nel rispetto del principio di accountability – si dovrà tener traccia affinché siano valutabili in caso di controllo. E pariteticamente, in caso di sussistenza di un piano temporale di remediation, sarà necessario monitorarne l’applicazione da parte del Responsabile.

ULTIMO NUMERO
ARCHIVIO
LE RUBRICHE
COME NASCE IL CAFFÈ DIGITALE
REGISTRATI
Iscriviti alla Newsletter mensile!
Ricevi gli articoli degli analisti di The Innovation Group e resta aggiornato sui temi del mercato digitale in Italia!