Home » Risorse » Interviste e Contributi » La scelta del fornitore: obblighi e opportunità
Interviste e Contributi Risorse

La scelta del fornitore: obblighi e opportunità

fornitore privacy gdpr

La valutazione dei fornitori è una scelta strategica, frutto del bilanciamento di numerosi elementi: costi, tempi, soluzioni proposte, impatti sul business etc.

Dal 2018 il GDPR richiede al Titolare di tenere in considerazione anche gli impatti privacy, prevedendo l’obbligo di affidarsi a responsabili del trattamento “che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

Laddove un prodotto o servizio fornito da terzi impatti sul trattamento di dati personali, occorre dimostrare le valutazioni che sono state svolte nella scelta di quel fornitore e di quella soluzione, scelte assunte in accountability tenuto conto delle specifiche del caso. Scelte che è opportuno documentare, per essere in grado di dimostrare le valutazioni svolte e le conseguenti soluzioni adottate.

Elementi altresì utili alla definizione contrattuale dei rapporti tra le parti, non soltanto relativamente alle adeguate istruzioni che il titolare deve fornire al responsabile del trattamento, ma con riferimento a svariati aspetti del rapporto, quali in tema di garanzia, responsabilità, concretizzazione obblighi di supporto etc.

Il tema dell’adeguatezza dei fornitori e della gestione dei relativi rapporti contrattuali è al centro di numerose decisioni a livello comunitario.

Il Parlamento UE ha di recente ricevuto una reprimenda dall’EDPS (European Data Protection Supervisor, l’Autorità di sorveglianza del rispetto della normativa privacy negli Enti ed Istituzioni dell’UE), tra gli altri motivi, perché non ha svolto le opportune valutazioni né fornito idonee istruzioni al fornitore individuato per la creazione del sito web istituito dal Parlamento per la prenotazione del test Covid-19 da parte dei soggetti che accedono a vario titolo alle sedi parlamentari.

In relazione a detto sito sono emerse diverse criticità (da informative e banner cookies non adeguate, all’utilizzo di strumenti quali Google Analytics che comportano trasferimento di dati negli USA in assenza di appropriate garanzie). A nulla sono valse le repliche del Parlamento, che sosteneva di aver fatto affidamento sulla professionalità del fornitore incaricato: il Parlamento ha accettato il sito così come realizzato, criticità incluse. Inoltre, non è stato in grado né di dimostrare le valutazioni di adeguatezza del fornitore a cui tenuto ex art. 28 GDPR, né di documentare le istruzioni al fornitore (responsabile del trattamento) relativamente a quegli aspetti che impattano sul trattamento dei dati personali.

Sulla stessa linea lo CNIL, il Garante Privacy francese, che, con riferimento ad un sito web francese, ha recentemente valutato illegittimo il trasferimento di dati negli USA di Google Analytics, in quanto le misure a garanzia del trasferimento adottate non sono state ritenute rispondenti ai parametri dell’autorità, raccomandando altresì l’utilizzo di strumenti di tracciatura dei siti web che producano dati statistici. Ha quindi intimato al gestore del sito web di adeguarsi al GDPR, nel caso anche cambiando soluzione e/o fornitore.

A quasi quattro anni dalla piena applicabilità del GDPR, si inizia a percepire una maggior consapevolezza degli operatori economici sui temi privacy. Fermi restando gli obblighi di legge, aspetti quali la tutela della riservatezza dei dati e delle informazioni aziendali, la gestione delle criticità, la definizione di tempistiche e modalità di supporto, sono diventati elementi da considerare sin dalle fasi preliminari dei rapporti con i fornitori, per consentire le opportune valutazioni da trasporre adeguatamente nei rapporti contrattuali tra le parti.

 

Avv. Giulia Rizza

Consultant e PM Colin & Partners

 

Articolo fornito da COLIN – Consulente Legale Informatico

 

Commenta

Clicca qui per inserire un commento


Iscriviti

per ricevere aggiornamenti sui trend e le opportunità IOT per il tuo business

Podcast & Smartspeaker

IOTtoday su Spotify IOTtoday su Google Podcast IOTtoday su Apple Podcast IOTtoday su Amazon Alexa IOTtoday su Google Home