GDPR: Fornitori? Tutti riqualificati come Responsabili Esterni - SPPD-MADEIN

Privacy 4.0 e Protezione dei dati
Edizione 2018-2019

Vai ai contenuti

Menu principale:

GDPR: Fornitori? Tutti riqualificati come Responsabili Esterni

AREA FORMAZIONE > DISPENSE FORMAZIONE > AUTORITA' DI CONTROLLO SPPD
GDPR: Fornitori e Contitolari? Tutti riqualificati come Responsabili Esterni
La privacy europea è e sarà perennemente evolutiva!

RAPPORTI ESTERNI CONTRATTI CON IMPRESE COLLEGATE - CONTITOLARITÀ (Art. 26).
Linee guida WP art. 29 opinion n.1/2010, adottata il 16 febbraio 2010

DI COSA PARLIAMO
La contitolarità significa che due o più titolari di trattamento decidono congiuntamente finalità e mezzi del trattamento.
I plurimi titolari sono sullo stesso piano e non vi è un soggetto che tratta dati "per conto" di un altro.

APPLICABILITA' MANDATORIE
Gli adempimenti in caso di contitolarità riguardano tutti i titolari del trattamento.

DOCUMENTAZIONE CARTACEA O ELETTRONICA
I soggetti obbligati sono tenuti a redigere un accordo di contitolarità.

Disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all'esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente.

Verifica situazioni di contitolarità
Stesura e sottoscrizione accordo di contitolarità
Stesura sintesi dell'accordo a disposizione degli interessati

Verifica determinazione congiunta di:

    • finalità del trattamento
    • mezzi del trattamento
    • Determinazione rispettive responsabilità
    • distribuzione degli obblighi derivanti dal RGPD
    • in particolare modalità di esercizio dei diritti degli interessati
    • in particolare modalità di informativa
    • designazione punto di contatto per gli interessati

Determinazione rispettive responsabilità:
Distribuzione degli obblighi' dervanti dal RGPD


Clausole contrattuali

      • Precisare ripartizioni di compiti relativi al flusso di dati, scelta mezzi del trattamento, scelta misure organizzative, ecc.
      • individuare referenti per la privacy
      • specificare le ricadute in termini economici
      • individuare eventuali manleve interne
      • inserire eventuali obblighi assicurativi
      • individuare forme di monitoraggio reciproco
      • stabilire eventuale obbligo di adesione a codici di condotta e/o acquisizione di certificazione

Nota: Precisare chi fornisce informativa e come, chi raccoglie il consenso (se dovuto), chi fa la valutazione di impatto privacy, chi predispone le misure di sicurezza e quali, chi fa le notificazioni/comunicazioni della violazioni di sicurezza, ecc.

ln particolare modalità di esercizio dei diritti degli interessati ln particolare modalità di informa circa la Designazione del punto di contatto per gli interessati.

Punti di seconda istanza seppure non meno rilevanti:

  • Precisare chi fornisce riscontro all'esercizio dei diritti di accesso, rettifica, oblio, opposizione, portabilità, limitazione, diritti per l'ipotesi di profilazione, ecc.
  • Precisare modalità e tempi; se si usano icone e quali; individuare testo dell'informativa
  • Individuare recapito o recapiti di facile raggiungimento
  • stabilire modalità di comunicazione e riscontro
  • individuare processi e canali di informazione reciproca in caso di richieste degli interessati

CONTRATTI/MODULISTICA CON FORNITORI/COLLABORATORI ESTERNI

RESPONSABILI E SUB RESPONSABILI ESTERNI NORME Dl RIFERIMENTO (Art. 28)

DI COSA PARLIAMO
il titolare del trattamento è un'impresa o un ente o un'organizzazione che per la sua corrente attività molto spesso esternalizza attività; da ciò deriva un flusso di dati che richiede l'investitura del soggetto esterno quale soggetto che assume responsabilità in ordine al trattamento, formalmente la nomina/designazione di responsabile esterno del trattamento.

OBBLIGHI MANDATORI
Sono obbligati alla nomina del soggetto esterno che tratta dati per conto del committente tutti i titolari di trattamento che esternalizzano.


DOCUMENTAZIONE DA FORMALIZZARE
Il soggetto obbligato è tenuto a redigere un contratto che contiene la nomina e la disciplina del rapporto tra titolare e responsabile esterno. Inoltre il responsabile del trattamento deve far sottoscrivere ai propri dipendenti un patto di riservatezza.

Il Regolamento UE 2016/679 fissa più dettagliatamente (rispetto all'art. 29 del Codice) le caratteristiche dell'atto con cui il titolare designa un responsabile del trattamento insicndo istruzioni e specifici compiti. Si sottende una forma contrattuale (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell'art. 28 al fine di dimostrare che il responsabile fornisce "garanzie sufficienti" quali natura, durata e finalità del trattamento o dei trattamenti assegnati, oltre a categorie di dati oggetto di trattamento, misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento;

• il Regolamento UE 2016/679 consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest'ultimo risponde dinanzi al titolare dell'inadempimento dell'eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l'evento dannoso "non gli è in alcun modo imputabile" (si veda art. 82, paragrafo 1 e paragrafo 3);

il Regolamento UE 2016/679 prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare, la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2); l'adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 regolamento); la designazione di un RPD/DPO, nei casi previsti dal regolamento o dal diritto nazionale (si veda art. 37 del regolamento).

NOTA: anche il responsabile non stabilito nell'Ue dovrà designare un rappresentante in Italia quando ricorrono le condizioni di cui all'art. 27, paragrafo 3, del regolamento — diversamente da quanto prevede oggi l'art. 5, comma 2, del Codice.

La procedura/nomina responsabile esterno

    • Verifica requisiti soggettivi del responsabile esterno
    • Verifica esistenza clausole contrattuali
    • Stesura e sottoscrizione
    • contratto di responsabilità del trattamento
    • Contenuto:
      • - Manutenzione del contratto



La procedura/Nomina sub responsabile esterno

    • Autorizzazione generale o speciale da parte del titolare del trattamento
    • Verifica requisiti soggettivi del sub responsabile esterno
    • Verifica esistenza clausole contrattuali
    • Stesura e sottoscrizione
    • contratto di sub responsabilità de trattamento
    • Contenuto:
      • - manutenzione dl contratto
      • - notizie al titolare su subentri, aggiunte di sub responsabili





Elementi contenuti in documentazione

    • Descrizione materia
    • Durata, natura, finalità det trattamento
    • Tipo di dati personali
    • Categorie di interessati
    • Obblighi e diritti del titolare
    • Clausole contratuali


Individuare ambito e settori commerciale o istituzionale dell'attività svolta!

Precisando...
      • finalità del trattamento (ad eempio commeciale, i markeeting, sanitaria, istruzione, ricerca sceientifica,
      • natura (automatizzata, non automatizzata o entrambi)

  • Durata (periodo di tempo o circostanza cronologiche di svolgimento dell'attività)
  • Sensibili, genetici, biometrici, giudiziari, identificativi, ecc..
  • Indicare se minori, soggetti vulnerabili, altre indicazioni
  • Rispetto al flusso del trattamento (ad es. raccogliere dati con determinate modalità oppure esigere modalità di elaborazione del dati da parte de' resopnsabile)

    • Obbligo del responsabile di attenersi alle istruzioni documentate
    • Obbligo del responsabile di assicurare il rispetto della riservatezza da parte di autorizzati al trattamento
    • Obbligo del responsabile di adottare le misure di sicurezza
    • Obbligo del responsabile di rispettare condizioni previste per nomina di sub responsabile
    • Obbligo del responsabile di assistere il titolare nel caso di esercizio dei diritti dell'interessato
    • Obbligo del responsabile di assistere il titolare del trattamento nella elaborazione e attuazione misure di sicurezza, notifica e comunicazione violazione dei dati, valutazione di impatto, consultazione preventiva
    • Obbligo del responsabile di cancellare o restituire i dati al termine del rapporto
    • Obbligo del responsabile di mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare l'allineamento
    • Obbligo del responsabile di consentire attività di revisione e ispezione del titolare o di suo fiduciario
    • Obbligo del responsabile di informare immediatamente delle istruzioni contra legem
    • Obbligo/facoltà di aderire codici di condotta o a meccanismi di certificazione
    • Clausole risoluzione espressa

  • Chiarire base documentale delle istruzioni, modalità per ll'apprendimento e l'interpretazione delle istruzioni
  • Sottoscrizione di patto di riservatezza da parte dei dipendenti del responsabile
  • Specificare misure e tempi di realizzazione del le misure e comunicazioni in merito
• Indicare caratteristiche e requisiti del sub responsabile;
• possono essere requisiti struttrali, di capacità economica, di affiabilità, morali, tecnici, ecc..

    • Individuare tempi e modalità della collaborazione
      • (ad es. tempi di risposta anticipati rispetto alla scadenza prevista dal RGDP peril riscontro all'interessato; modalità di eventuale acquisizione diretta delle informazioni richieste dall'interessato, ,ecc.)
    • Individuare tempi, modalità e ufffici interessati; stabilire sanzioni contrattuali nell'ipotesi di mancata collaborazione
    • Sottolineare divieto di trattamento autonomo
    • Individuare modalità e tempi di risposta, specificando uffici preposti; specificare sanzioni contrattuali in caso di dissenso del responsabile del trattamento
    • Individuare modalità ispettive, prevedendo dapprima richiesa di relazioni e report e sopralluoghi in contraddittorio solo in seconda battuta;
    • Individuare terzi soggetti delegati alle ispezioni;
    • Individuare sanzioni contrattuali in caso di dissenso del responsabile del trattamento
    • Individuare procedimento da seguire; uffici e funzioni referenti; stabilire clausole penali in caso di inosservanza;
    • Individuare tempi di inoltro della comunicazione; specificare clausole di riservatezza della comunicazione
    • Individuare codice di condotta di riferimento;
    • Individuare certificazioni richieste
    • Specificare ipotesi di risoluzione del contratto per gravi indempimenti specificamente individuati




Torna ai contenuti | Torna al menu