GDPR: Fornitori e Contitolari? Tutti riqualificati come Responsabili Esterni - MSPD ACME SPA

• Precisare ripartizioni di compiti relativi al flusso di dati, scelta mezzi del trattamento, scelta misure organizzative, ecc.
• individuare referenti per la privacy
• specificare le ricadute in termini economici
• individuare eventuali manleve interne
• inserire eventuali obblighi assicurativi
• individuare forme di monitoraggio reciproco
• stabilire eventuale obbligo di adesione a codici di condotta e/o acquisizione di certificazione

Nota: Precisare chi fornisce informativa e come, chi raccoglie il consenso (se dovuto), chi fa la valutazione di impatto privacy, chi predispone le misure di sicurezza e quali, chi fa le notificazioni/comunicazioni della violazioni di sicurezza, ecc.

ln particolare modalità di esercizio dei diritti degli interessati ln particolare modalità di informa circa la Designazione del punto di contatto per gli interessati.

Punti di seconda istanza seppure non meno rilevanti:

• Precisare chi fornisce riscontro all'esercizio dei diritti di accesso, rettifica, oblio, opposizione, portabilità, limitazione, diritti per l'ipotesi di profilazione, ecc.
  
• Precisare modalità e tempi; se si usano icone e quali; individuare testo dell'informativa
  
• Individuare recapito o recapiti di facile raggiungimento
  
• stabilire modalità di comunicazione e riscontro
  
• individuare processi e canali di informazione reciproca in caso di richieste degli interessati
  

CONTRATTI/MODULISTICA CON FORNITORI/COLLABORATORI ESTERNI

RESPONSABILI E SUB RESPONSABILI ESTERNI NORME Dl RIFERIMENTO (Art. 28)

DI COSA PARLIAMO

il titolare del trattamento è un'impresa o un ente o un'organizzazione che per la sua corrente attività molto spesso esternalizza attività; da ciò deriva un flusso di dati che richiede l'investitura del soggetto esterno quale soggetto che assume responsabilità in ordine al trattamento, formalmente la nomina/designazione di responsabile esterno del trattamento.

OBBLIGHI MANDATORI

Sono obbligati alla nomina del soggetto esterno che tratta dati per conto del committente tutti i titolari di trattamento che esternalizzano.

DOCUMENTAZIONE DA FORMALIZZARE

Il soggetto obbligato è tenuto a redigere un contratto che contiene la nomina e la disciplina del rapporto tra titolare e responsabile esterno. Inoltre il responsabile del trattamento deve far sottoscrivere ai propri dipendenti un patto di riservatezza.

Il Regolamento UE 2016/679 fissa più dettagliatamente (rispetto all'art. 29 del Codice) le caratteristiche dell'atto con cui il titolare designa un responsabile del trattamento insicndo istruzioni e specifici compiti. Si sottende una forma contrattuale (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell'art. 28 al fine di dimostrare che il responsabile fornisce "garanzie sufficienti" quali natura, durata e finalità del trattamento o dei trattamenti assegnati, oltre a categorie di dati oggetto di trattamento, misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento;

• il Regolamento UE 2016/679 consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest'ultimo risponde dinanzi al titolare dell'inadempimento dell'eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l'evento dannoso "non gli è in alcun modo imputabile" (si veda art. 82, paragrafo 1 e paragrafo 3);

• il Regolamento UE 2016/679 prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare, la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2); l'adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 regolamento); la designazione di un RPD/DPO, nei casi previsti dal regolamento o dal diritto nazionale (si veda art. 37 del regolamento).

NOTA: anche il responsabile non stabilito nell'Ue dovrà designare un rappresentante in Italia quando ricorrono le condizioni di cui all'art. 27, paragrafo 3, del regolamento — diversamente da quanto prevede oggi l'art. 5, comma 2, del Codice.

La procedura/nomina responsabile esterno

• Verifica requisiti soggettivi del responsabile esterno
• Verifica esistenza clausole contrattuali
• Stesura e sottoscrizione
• contratto di responsabilità del trattamento
• Contenuto:
• - Manutenzione del contratto

La procedura/Nomina sub responsabile esterno

• Autorizzazione generale o speciale da parte del titolare del trattamento
• Verifica requisiti soggettivi del sub responsabile esterno
• Verifica esistenza clausole contrattuali
• Stesura e sottoscrizione
• contratto di sub responsabilità de trattamento
• Contenuto:
• - manutenzione dl contratto
• - notizie al titolare su subentri, aggiunte di sub responsabili

Elementi contenuti in documentazione

• Descrizione materia
• Durata, natura, finalità det trattamento
• Tipo di dati personali
• Categorie di interessati
• Obblighi e diritti del titolare
• Clausole contratuali

Individuare ambito e settori commerciale o istituzionale dell'attività svolta!

Precisando...

• finalità del trattamento (ad eempio commeciale, i markeeting, sanitaria, istruzione, ricerca sceientifica,
• natura (automatizzata, non automatizzata o entrambi)

• Durata (periodo di tempo o circostanza cronologiche di svolgimento dell'attività)
  
• Sensibili, genetici, biometrici, giudiziari, identificativi, ecc..
  
• Indicare se minori, soggetti vulnerabili, altre indicazioni
  
• Rispetto al flusso del trattamento (ad es. raccogliere dati con determinate modalità oppure esigere modalità di elaborazione del dati da parte de' resopnsabile)
  

• Obbligo del responsabile di attenersi alle istruzioni documentate
• Obbligo del responsabile di assicurare il rispetto della riservatezza da parte di autorizzati al trattamento
• Obbligo del responsabile di adottare le misure di sicurezza
• Obbligo del responsabile di rispettare condizioni previste per nomina di sub responsabile
• Obbligo del responsabile di assistere il titolare nel caso di esercizio dei diritti dell'interessato
• Obbligo del responsabile di assistere il titolare del trattamento nella elaborazione e attuazione misure di sicurezza, notifica e comunicazione violazione dei dati, valutazione di impatto, consultazione preventiva
• Obbligo del responsabile di cancellare o restituire i dati al termine del rapporto
• Obbligo del responsabile di mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare l'allineamento
• Obbligo del responsabile di consentire attività di revisione e ispezione del titolare o di suo fiduciario
• Obbligo del responsabile di informare immediatamente delle istruzioni contra legem
• Obbligo/facoltà di aderire codici di condotta o a meccanismi di certificazione
• Clausole risoluzione espressa

• Chiarire base documentale delle istruzioni, modalità per ll'apprendimento e l'interpretazione delle istruzioni
  
• Sottoscrizione di patto di riservatezza da parte dei dipendenti del responsabile
  
• Specificare misure e tempi di realizzazione del le misure e comunicazioni in merito
  

• Indicare caratteristiche e requisiti del sub responsabile;

• possono essere requisiti struttrali, di capacità economica, di affiabilità, morali, tecnici, ecc..