Conformità del subappaltatore al RGPD: 8 obblighi da rispettare

Sia che un'entità sia un fornitore di software SaaS, un editore di applicazioni web, un integratore, un fornitore di servizi digitali e IT, sia che si avvalga di tali servizi, è molto probabile che sia soggetta al futuro Regolamento generale sulla protezione dei dati (GDPR), che entrerà in vigore il 25 maggio 2018, e che debba affrontare le questioni relative all'esternalizzazione dei dati personali.

Di conseguenza, i subappaltatori dovranno adeguare le loro attività ai nuovi obblighi del GDPR, per non correre il rischio di essere sanzionati dalle autorità di controllo. Per farlo, però, è necessario sapere quali sono.

SOMMARIO :

Vedere tutti i software GDPR

Operazione preliminare: identificare i rapporti di subappalto

Per conformarsi al RGPD, è necessario identificare con precisione i rapporti di subappalto di dati personali e classificare i soggetti coinvolti in base al ruolo di ciascuno, titolare del trattamento o subappaltatore.

Si tratta di un'operazione cruciale, in quanto determinerà gli obblighi che un'entità dovrà rispettare.

Un incaricato del trattamento è una persona che tratta i dati personali per conto di un'altra entità, il responsabile del trattamento.

L'incaricato del trattamento si differenzia da quest'ultimo in quanto non definisce né la finalità del trattamento (lo scopo del trattamento dei dati) né i mezzi essenziali del trattamento (i processi con cui i dati saranno principalmente trattati).

Poiché questa distinzione viene fatta su una base di trattamento dei dati per ogni singolo trattamento, è concepibile che la stessa entità, nel suo rapporto con un partner commerciale e nel caso di molteplici operazioni di trattamento, possa essere il titolare del trattamento per un'operazione, ma un responsabile del trattamento per un'altra.

Con tale definizione, va notato che la nozione di incaricato del trattamento nel senso della legge sui dati personali è un falso amico della nozione di incaricato del trattamento nel senso usuale o commerciale.

Un incaricato del trattamento nel senso commerciale del termine può benissimo essere un responsabile del trattamento nel senso della legge sui dati, e viceversa.

È quindi necessario essere particolarmente vigili su questo aspetto e affrontare questa fase della conformità con mente aperta.

Una volta che un'entità ha identificato chiaramente le finalità per cui tratta i dati personali, dovrà rispettare 8 obblighi principali.

Obbligo n. 1: rispettare la forma dei contratti di subappalto

Il RGPD richiede che il rapporto tra responsabile e incaricato del trattamento sia strettamente regolamentato e formalizzato in un contratto scritto.

Tale contratto deve contenere una serie di clausole obbligatorie, tra cui una clausola che autorizzi il responsabile del trattamento a verificare il modo in cui l'incaricato del trattamento tratta i dati per suo conto e una clausola che organizzi l'accesso ai dati da parte del personale dell'incaricato del trattamento.

Per conformarsi a queste nuove norme, gli incaricati del trattamento dovrebbero quindi aggiornare sia i contratti esistenti che i contratti tipo per il futuro.

Obbligo n. 2: scegliere i subappaltatori

Ai sensi del RGPD, l'incaricato del trattamento è tenuto ad assumere un altro incaricato del trattamento solo previa autorizzazione scritta del responsabile del trattamento.

L'autorizzazione può essere specifica, per un particolare incaricato del trattamento di secondo livello, o generale, per qualsiasi incaricato del trattamento di secondo livello che l'incaricato abbia già o che assuma in futuro.

In questi casi, il contratto tra l'incaricato del trattamento e l'incaricato di secondo livello deve fornire almeno lo stesso livello di garanzie di protezione dei dati di quello stipulato tra il responsabile del trattamento e l'incaricato.

Anche in questo caso, la conformità da parte di un'entità che tratta dati personali comporterà la revisione dei contratti esistenti con i propri partner e l'aggiornamento dei modelli contrattuali per il futuro.

Obbligo n. 3: rispettare le istruzioni del responsabile del trattamento

Il GDPR lascia pochissimo spazio di manovra all'entità che tratta dati personali per conto del responsabile del trattamento.

Di conseguenza, l'incaricato del trattamento potrà effettuare il trattamento solo nella misura in cui si attiene alle istruzioni impartitegli dal responsabile del trattamento.

Tali istruzioni possono essere specificate nel contratto inizialmente stipulato tra l'incaricato del trattamento e il responsabile del trattamento o possono essere impartite successivamente dal responsabile del trattamento.

Tuttavia, questo obbligo non significa che l'incaricato del trattamento debba rimanere passivo nel suo rapporto con il responsabile del trattamento.

Sono tenuti a informare immediatamente il responsabile del trattamento se ritengono che un'istruzione ricevuta sia contraria al RGPD o, più in generale, al diritto dell'Unione europea o nazionale.

Obbligo n. 4: tenere un registro dei trattamenti

Per i responsabili del trattamento che impiegano più di 250 persone, per quelli che effettuano regolarmente trattamenti particolarmente rischiosi o per quelli che trattano dati sensibili (dati sanitari, dati relativi a condanne penali, ecc.), il RGPD impone loro di tenere un registro delle attività di trattamento.

Lo scopo di questo registro è quello di consentire alle autorità di controllo (in Francia, la CNIL) di facilitare le loro verifiche. Deve contenere tutte le informazioni necessarie a fornire una visione d'insieme delle modalità di trattamento dei dati da parte di un incaricato del trattamento: per conto di chi vengono trattati i dati, quali misure di sicurezza sono state messe in atto, quali tipi di trattamento vengono effettuati e così via.

Si tratta di una fase importante della conformità, in quanto talvolta richiede una vera e propria indagine interna.

Obbligo n. 5: mantenere un livello di sicurezza proporzionato

La mancanza di sicurezza nel trattamento dei dati personali effettuato da un incaricato del trattamento per conto di un responsabile del trattamento è uno dei motivi frequenti di sanzione da parte della CNIL.

Per questo motivo è importante essere particolarmente diligenti su questi aspetti e garantire che le misure implementate dall'incaricato del trattamento per prevenire le violazioni dei dati siano adeguate, come richiesto dal RGPD.

Per determinare l'adeguatezza di tali misure vengono utilizzati diversi criteri. Il principale è quello di prendere in considerazione il livello di rischio generato dal trattamento per le persone i cui dati vengono trattati.

Tuttavia, e questo è positivo, il rispetto degli obblighi di sicurezza previsti dal RGPD non richiede che l'incaricato del trattamento spenda l'intero budget annuale per la sicurezza.

Il livello di aspettativa dipenderà quindi dalle risorse del subappaltatore, siano esse umane, materiali o tecniche.

Assicurarsi che il subappaltatore sia conforme in termini di sicurezza dei dati significa assicurarsi che stia facendo il meglio che può con quello che ha. Ciò significa effettuare un audit di sicurezza per identificare i potenziali punti deboli e apportare le correzioni necessarie per porvi rimedio.

Se le risorse dell'ente lo consentono, si raccomanda il ricorso a un fornitore di servizi di cybersecurity specializzato.

Obbligo n. 6: informare il titolare del trattamento in caso di violazione dei dati personali

In materia di cybersecurity, è consuetudine affermare che non si tratta tanto di sapere se un'entità sarà vittima di una violazione dei dati, quanto piuttosto di sapere quando sarà.

Una violazione dei dati può assumere diverse forme, come la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso non autorizzato ai dati.

Purtroppo, è molto probabile che un elaboratore di dati personali subisca una violazione dei dati almeno una volta nel corso della sua vita.

Il GDPR pone la maggior parte degli obblighi relativi alle violazioni dei dati personali sulle spalle del responsabile del trattamento.

L'incaricato del trattamento, da parte sua, ha solo due obblighi: in primo luogo, notificare al responsabile del trattamento il più presto possibile se subisce una violazione dei dati che sta trattando per suo conto, e in secondo luogo, cooperare con il responsabile del trattamento non appena quest'ultimo glielo chiede.

Nell'ambito del progetto di compliance del subappaltatore, è quindi utile definire in anticipo le procedure da seguire in caso di violazione dei dati, per garantire una rapida circolazione delle informazioni e poter reagire più rapidamente all'urgenza di tali situazioni.

Obbligo n. 7: nominare un responsabile della protezione dei dati (RPD)

Quando le attività di un subappaltatore comportano il trattamento di una grande quantità di dati personali o di dati particolarmente sensibili, il RGPD richiede che esso nomini una persona che si occupi di tutte le questioni relative alla protezione dei dati: il Responsabile della protezione dei dati (RPD ), che deve riferire direttamente al livello più alto della direzione del subappaltatore.

A tal fine, il RGPD lascia all'incaricato del trattamento un certo margine di manovra nella nomina del proprio RPD. Può trattarsi di un membro del personale dell'incaricato del trattamento o di un fornitore di servizi se la funzione di RPD è esternalizzata.

È anche possibile che più soggetti, subappaltatori o responsabili del trattamento, mettano in comune le proprie risorse nominando un RPD comune.

Una volta nominato il RPD, il subappaltatore, nel suo rapporto con il RPD, deve garantire che il RPD abbia le risorse necessarie per svolgere i suoi compiti, in altre parole che il RPD sia sistematicamente coinvolto nelle questioni relative alla protezione dei dati, che disponga di risorse sufficienti e che possa operare in modo completamente indipendente.

La nomina del RPD0 è quindi un passo importante per garantire la conformità alle norme sulla protezione dei dati, in quanto sarà lui a gestire il progetto di messa in conformità dell'incaricato del trattamento e a garantire il mantenimento della conformità.

Obbligo n. 8: garantire che i trasferimenti di dati verso Paesi terzi siano leciti

Molte attività nell'industria digitale richiedono il trasferimento di dati personali da un paese all'altro, sia tra entità appartenenti allo stesso gruppo di società sia nell'ambito della fornitura di servizi.

A questo proposito, il RGPD ci impone di essere particolarmente scrupolosi sulle condizioni in cui avvengono questi trasferimenti.

Un incaricato del trattamento può trasferire i dati all'estero solo in alcune circostanze limitate.

Di conseguenza, un incaricato del trattamento può trasferire i dati all'estero solo in alcune circostanze limitate: se il destinatario dei dati si trova nell'Unione Europea o in un Paese che la Commissione Europea ha ritenuto fornire un livello sufficiente di protezione dei dati, se l'entità che riceve i dati presenta personalmente un certo numero di garanzie (in particolare attraverso l'adozione di norme aziendali vincolanti, l'adesione a un codice di condotta approvato dalle autorità competenti o un'adeguata organizzazione contrattuale del trasferimento).

Per conformarsi al GDPR, l'incaricato del trattamento deve quindi identificare i trasferimenti di dati che effettua e riorganizzarli se non rientrano nell'ambito di applicazione del regolamento.

Vedere tutti i software GDPR

Conclusione

Adeguare le attività di un incaricato al RGPD non è un compito facile. Ci sono molti obblighi da rispettare, alcuni dei quali richiedono una vera e propria competenza.

Tuttavia, poiché i partner commerciali sono sempre più esigenti in materia di conformità alle norme sulla protezione dei dati, è possibile considerare la conformità non come un obbligo, ma come un'opportunità per ottenere un vantaggio competitivo.