Come ben si sa, il GDPR ha cambiato, a partire dal maggio 2018, il modo di gestire la Data Protection da parte delle aziende e dei liberi professionisti. Si tratta di un tema molto tecnico con diverse diramazioni. Se sei qui, significa che vuoi sapere qualcosa di più in merito e che, nello specifico, ti interessa approfondire tutto quello che ruota attorno all’audit sui fornitori (molto probabilmente hai sentito questa espressione e vuoi sapere qualcosa di più).
Perfetto! Nelle prossime righe, prendendo spunto dal blog di privacylab.it, abbiamo raccolto alcune informazioni che potrebbero esserti utili.
L’audit sui fornitori è obbligatorio?
La risposta è affermativa: l’audit sui fornitori è obbligatorio. Di cosa si tratta di preciso? Di un controllo sul loro operato per quanto riguarda lo svolgimento dei compiti inerenti la Data Protection. Entrando nel vivo delle linee guida messe in primo piano dal Regolamento Europeo, è il caso di ricordare che, guardando all’articolo 28 del GDPR, è possibile trovare informazioni in merito ai compiti di controllo relativi all’operato del responsabile del trattamento dei dati. L’audit in questione deve essere gestito dal titolare del trattamento.
Ciò significa che il Regolamento prevede il fatto di andare oltre la nomina della prima delle due figure citate: c’è ben di più e, ribadiamo, è fondamentale che il titolare del trattamento dei dati abbia la certezza in merito alla conformità del lavoro del responsabile.
Un mondo estremamente complesso
Come già accennato, il mondo della Data Protection è estremamente complesso e si contraddistingue per una complessità notevole. La casistica è ricca di dettagli. Tra le situazioni degne di nota rientrano quelle in cui si ha a che fare con la migrazione di una mole notevole di dati e con una procedura protratta per un ampio lasso di tempo. In questi frangenti, sorgono spesso dei dubbi. C’è chi, per esempio, si chiede se sia o meno necessario procedere con la verifica. Tra gli interrogativi che sorgono più spesso rientrano anche quelli relativi all’opportunità di procedere o meno con l’esecuzione dell’audit.
In queste circostanze, si tende a fare riferimento a una ratio molto specifica. Quest’ultima, afferma che, da parte del titolare del trattamento dei dati personali, non è possibile sottrarsi alla verifica dell’operato dei soggetti che attuano un trattamento diretto sui dati. L’obbligo di vigilare appena citato sussiste anche nelle situazioni in cui, per gli interessati, è presente un rischio relativo al poco fa citato trattamento dei dati.
Nell’ambito dei tantissimi casi con cui si può avere a che fare quando si apre il vaso di Pandora dell’audit sui fornitori previsto dal GDPR, un doveroso cenno deve essere dedicato agli enti pubblici.
In questi frangenti, le realtà che si occupano di Data Protection si rapportano – e non è un’iperbole – con migliaia di fornitori. Sono diversi gli esperti di gestione della privacy che, interloquendo con le aziende sopra citate, si sono riferire che, per quanto riguarda l’audit dei fornitori, procedono a campione (il tempo non permette concretamente di vigilare sull’operato di tutti).
Anche in questo caso, la ratio del Regolamento Europeo può essere considerata un faro. Entrando nello specifico di essa, rammentiamo che le verifiche sono previste e che devono essere concretizzate tenendo conto della proporzionalità rispetto al rischio. Basilare è sottolineare che, nel caso sopra descritto, gli audit vanno effettuati tenendo conto dell’operato di tutti i responsabili.
Conclusioni
Si potrebbe andare avanti ancora molto a parlare delle sfaccettature relative all’audit sui fornitori in ambito Data Protection. Un altro punto degno di approfondimento riguarda l’assenza di riferimenti al controllo nel contratto di nomina del responsabile esterno del trattamento dei dati. Anche se mancano specifiche in merito, dal momento che il GDPR prevede il controllo quest’ultimo deve essere fatto. In ogni caso, onde non compromettere il rapporto di fiducia con il fornitore, è opportuno dettagliare tutto nel contratto.