Se è vero che l’unione e la collaborazione con fornitori esterni rappresentano la forza di un’azienda, è altrettanto assodato che queste esternalizzazioni implicano nuovi doveri in tema privacy da rispettare.
Avvalersi di un servizio da un soggetto terzo può implicare che questo soggetto raccolga, elabori, utilizzi e conservi dei dati personali.
In tutti questi casi il titolare deve formalizzare una nomina a responsabile e prevedere controlli (preliminari e durante l’esecuzione del servizio) sui fornitori.
Il GDPR è molto chiaro: il titolare deve prendere le misure tecniche e organizzative adeguate per proteggere le informazioni personali che l’azienda o un soggetto terzo elabora e tratta.
Il fornitore di servizi giusto per evitare rischi, danni e problemi
L’importanza della prevenzione è un dogma del mondo privacy che però trova nell’ignoranza e nel disinteresse dei validi avversari.
In questo contesto risulta ancor più utile evidenziare pene e responsabilità: il danno punitivo stabilisce che la responsabilità per la violazione subita da un’azienda che si affida a fornitori non GDPR compliant è in carico all’azienda.
Sono tre i principali danni che i fornitori non GDPR compliant possono causare all’azienda che gli affida i servizi:
- Mettere in pericolo la sicurezza dei processi di trattamento dei dati personali;
- Non aderire alle policy aziendali in termini di coerenza alle best practice aziendali e in termini di performance ed esigenze di business;
- Compromettere la solidità aziendale sia internamente ed esternamente, con enormi ripercussioni anche in ottica reputazionale.
Il processo di pre-selezione: privacy by design nella scelta del fornitore
Il GDPR ha introdotto il principio di privacy by design e della valutazione del rischio che applicato alla scelta di fornitore esterno implica l’identificazione delle misure da prevedere prima ancora di selezionare e monitorare i processi dei fornitori.
Un metodo molto semplice consiste nell’attribuire un livello di impatto ai trattamenti che si vogliono esternalizzare, come mostrato da ENiSA in Handbook on Security of Personal Data Processing.
Il livello di rischio sarà sempre direttamente proporzionale al livello di impatto. A ogni livello è possibile stabilire le misure che un fornitore deve rispettare.
La scelta del fornitore: il corretto processo di selezione
La scelta del fornitore deve essere compiuta mediante un’analisi dell’organigramma aziendale del fornitore volta all’identificazione dei ruoli interni ricoperti, nonché mediante una mappatura dei processi aziendali al fine di comprenderne la gestione dei flussi di dati.
Cosa deve fare l’azienda:
- Dotarsi di un sistema centralizzato di selezione dei fornitori che già internamente offra garanzie da un punto di vista di cyber security.
- Verificare quali siano le modalità di gestione dei dati adottate e se queste rispettino o meno le finalità esplicitate agli interessati;
- Se il plan è affidato ad un esterno, testare che le misure di sicurezza dei fornitori siano proporzionate ai rischi derivanti dai trattamenti compiuti.
Come mappare la lista dei fornitori nel Registro dei Trattamenti:
Il titolare del trattamento deve mappare la lista dei fornitori, i relativi accordi e le nomine per ciascun ruolo nel registro di trattamento.
Gli scopi principali di questo procedimento sono 3:
- Chiarire per quali finalità e attività agiscono come singoli titolari autonomi;
- Impegnarsi a garantire un trattamento conforme alla normativa privacy;
- Specificare per quali finalità e attività eventualmente agiscono come contitolari.
Il problema delle piccole e medie imprese
Nelle piccole e medie imprese il problema della corretta selezione del fornitore è amplificato da limiti di budget, personale e conoscenze.
Come spesso accade però, l’ostacolo più difficile da superare è la cultura aziendale che impedisce di modificare abitudini ormai consolidate nel tempo.
Le relazioni gerarchiche teoriche spesso non rispettano i rapporti di forza pratici: sono diffusi i casi in cui il titolare ha inferiore potere contrattuale del responsabile che magari rifiuta di firmare.
Non mancano nemmeno i casi in cui il rapporto fiduciario instaurato dopo anni di collaborazione tra titolare e responsabile impediscano al titolare di minacciare il cambio di fornitore in caso di mancato adeguamento GDPR.
Il suggerimento in questi casi è sempre quello di avvalersi di un consulente legale qualificato capace di dialogare con i vari soggetti ed individuare la soluzione migliore.
