Beatrice Bardelli

Nomina a responsabile esterno – Come tutelarsi?

L'autore

BEATRICE BARDELLI

BEATRICE BARDELLI

DPO
Esperta in revisione documentale e compliance
Scienze forensi e Criminologiche
Project management
Consulente Certificato PrivacyLab

Bio dell'Autore

Per adeguarsi a quanto richiede il GDPR non basta predisporre una informativa ben fatta. Ci sono svariati adempimenti da rispettare per poter trattare i dati in modo lecito.

Uno di questi è la nomina a responsabile esterno quando si decide di esternalizzare un servizio.

Come abbiamo spiegato in un precedente articolo del nostro blog, il titolare ha l’obbligo e la responsabilità di nominare il proprio fornitore e assicurarsi di fornirgli tutte le istruzioni affinché sappia come deve trattare in dati, quali sono i suoi obblighi e quali garanzie per la sicurezza dei dati deve adottare.  

 

Purtroppo, però, dopo più di 2 anni dall’entrata in vigore del GDPR ci imbattiamo ancora in vicende che vedono aziende sanzionate per non aver nominato i propri fornitori come responsabili esterni, secondo quanto previsto dall’articolo 28 del Regolamento.

 

È il caso della Regione Lazio che è stata sanzionata per 75 mila euro per non aver nominato responsabile del trattamento dati la società di call center a cui aveva affidato la gestione delle prenotazioni di prestazioni sanitarie dei propri utenti. L’assenza di una chiara definizione del rapporto tra il titolare e il responsabile comporta la mancanza di una base giuridica sulla quale dovrebbe basarsi il trattamento dei dati: per un decennio quindi questa società ha trattato in maniera illecita i dati a lei affidati.

 

Il responsabile esterno è sempre corresponsabile per una mancata nomina?

 

In generale la mancata nomina a responsabile esterno rende vulnerabile e a rischio di sanzione sia il titolare del trattamento che il fornitore stesso, perché avrebbe dovuto regolarizzare la sua posizione per garantire un corretto trattamento dei dati secondo le istruzioni che il titolare avrebbe dovuto fornirgli.

Diversamente da quanto è successo per il caso “Roma Capitale” nella vicenda che stiamo analizzando, però, la società coinvolta non è stata questa volta sanzionata dal Garante ma soltanto ammonita. È emerso, infatti, che la società di call center aveva ripetutamente ribadito alla Regione Lazio la necessità di essere nominata responsabile del trattamento e aveva messo in atto misure conformi a quanto richiesto dal GDPR, istituendo il registro dei trattamenti e adoperandosi per garantire adeguate misure di sicurezza.

 

Si evince, quindi, che non sempre l’assenza della nomina si possa imputare ad una disattenzione o a una scelta del responsabile esterno, ma capiti anche che i titolari, che per primi dovrebbero garantire la sicurezza e l’implementazione di tutte le misure necessarie a trattare i dati dei loro interessati, tralascino una parte importante dei loro obblighi.

 

Non è detto che un’indagine ispettiva che, in prima battuta, non riguarda la propria azienda ma ne coinvolge una alla quale si offrono servizi non comporti, in un secondo momento, anche dei controlli su di noi. È bene quindi non farsi trovare impreparati!

 

È fondamentale impegnarsi a implementare quanto richiesto dal GDPR e a sollecitare i titolari ai quali si sta fornendo un servizio affinché venga sottoscritta una nomina (preferibilmente prima di iniziare ad erogare la prestazione), proprio perché, se c’è evidenza che si siano compiute tutte le operazioni necessarie richieste, il rischio di incorrere in una sanzione pecuniaria, in caso di ispezioni, si riduce e può trasformarsi in un semplice ammonimento, come abbiamo visto.

 

È per questo che, come DPO esterni, consigliamo sempre alle società che forniscono servizi, di includere nei propri contratti l’auto-nomina a responsabile esterno ex art. 28 GDPR, per tutelare sé stessi e per offrire un servizio attento anche a quei titolari un po’ disattenti.

dpo esterno
Scopri di più sull'autore di questo articolo!
dpo esterno

Non solo videosorveglianza: il tempo di conservazione dei dati

L'autore

BEATRICE BARDELLI

BEATRICE BARDELLI

DPO
Esperta in revisione documentale e compliance
Scienze forensi e Criminologiche
Project management
Consulente Certificato PrivacyLab

Bio dell'Autore

Cosa è successo?

A inizio dicembre il Garante Privacy si è espresso per fare chiarezza su una tematica spinosa come quella della videosorveglianza, ribadendo l’importanza di seguire i principi espressi nel GDPR, primo fra tutti quello dell’accountability. Una delle precisazioni fatte dal Garante ha riguardato proprio i tempi di conservazione dei dati.

All’interno delle sue FAQ il Garante ha sottolineato che “in base al principio di responsabilizzazione (art. 5, paragrafo 2, del GDPR), spetta al titolare del trattamento individuare i tempi di conservazione delle immagini, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”.

Escludendo i casi e le specifiche norme di legge che impongono un termine specifico per la conservazione (si veda, ad esempio, l’art. 6, co. 8, del D.L. 23/02/2009, n. 11, ai sensi del quale, nell’ambito dell’utilizzo da parte dei Comuni di sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico per la tutela della sicurezza urbana, “la conservazione dei dati è limitata ai sette giorni successivi alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione”) non sono espressamente determinati nel GDPR tempi di conservazione dei dati  e si è quindi superato quanto previsto dal vecchio provvedimento generale dell’8 aprile 2010 che prevedeva una conservazione limitata a poche ore o, al massimo, alle ventiquattro ore successive alla rilevazione, fatte salve speciali esigenze.

Cosa cambia per il titolare dell’azienda?

È quindi in capo al singolo titolare del trattamento determinare, caso per caso, per quanto tempo sia lecito protrarre un trattamento di dati personali nel rispetto dei diversi principi del Regolamento europeo e, in particolare, quelli di liceità, proporzionalità e minimizzazione.

È bene ricordare che durante la visita ispettiva potrebbe essere richiesto al Titolare di esplicitare quale è il tempo di conservazione dei dati prefissato per ogni trattamento effettuato e soprattutto quali sono stati i criteri che hanno portato alla determinazione di uno specifico periodo di tempo.

Non è sufficiente stabilire in maniera automatica le tempistiche per la conservazione e cancellazione dei dati, ma occorre avere la consapevolezza del perché sia stata compiuta una determinata scelta.

A ribadire questo concetto è di nuovo il Garante che sempre nelle FAQ esplicita come un periodo di conservazione di pochi giorni dovrebbe essere considerato sufficiente a consentire al titolare del trattamento di raggiungere lo scopo perseguito attraverso un sistema di videosorveglianza la cui finalità è in genere la sicurezza e la protezione del patrimonio.

In ogni caso, sottolinea, “quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione”.

In conclusione

Alla luce di queste osservazioni vi consigliamo di rivedere tutte le politiche di conservazioni dei dati attuate, ponendo maggiore attenzione ai trattamenti di dati particolari, andando a verificare che tale periodo venga effettivamente rispettato. Se possibile sarebbe bene raccogliere le motivazioni che sottostanno a specifiche scelte per averle a disposizione nel caso di una visita ispettiva.

Il vostro DPO, sia interno che esterno, può aiutarvi e supportarvi nel capire se le decisioni prese siano effettivamente le migliori per garantire l’accountability del Titolare!

Per concludere ricordiamo che quanto detto per la videosorveglianza vale ovviamente per tutti i trattamenti che effettua l’azienda e in particolare nel caso di dati trattati per finalità di marketing e profilazione.

In questo caso occorrerà tenere a mente un ulteriore elemento nel compiere tali valutazioni, ossia il consenso espresso dagli interessati.

Rispetto alla durata del consenso anche le linee guida dell’EDPB di maggio 2020 ricordano che non è specificato nel GDPR un temine di validità per il consenso espresso dall’interessato perché esso dipende dal contesto, dalle motivazioni originarie e dalle aspettative dell’interessato e ciò implica che questo non possa durare per sempre. Se le modalità di trattamento cambieranno, il consenso espresso non sarà quindi più valido e sarà necessario ottenere un nuovo consenso se si vorrà continuare ad utilizzare quei dati.

Anche il Garante per la protezione dei dati personali con il provvedimento adottato lo scorso 15 ottobre 2020 ha di nuovo sottolineato che il consenso al trattamento dei dati personali per finalità promozionali deve considerarsi scisso e non condizionato dall’esistenza o meno di un rapporto contrattuale e può ritenersi valido, indipendentemente dal tempo trascorso, se verranno rispettati i seguenti criteri:

– il consenso non è stato revocato dall’interessato ed è stato correttamente acquisito in origine;

– il consenso è ancora valido alla luce delle norme applicabili al momento del trattamento;

– i tempi di conservazione stabiliti dal titolare e indicati nell’informativa vengono rispettati.

dpo esterno
Scopri di più sull'autore di questo articolo!
dpo esterno

La responsabilità di controllo del titolare

L'autore

BEATRICE BARDELLI

BEATRICE BARDELLI

DPO
Esperta in revisione documentale e compliance
Scienze forensi e Criminologiche
Project management
Consulente Certificato PrivacyLab

Bio dell'Autore

Quanto è importante nominare un responsabile esterno quando esternalizziamo un servizio?

Una volta effettuata la nomina, la responsabilità del titolare si esaurisce? Assolutamente no!

La responsabilità di controllo e verifica delle misure attuate per garantire la sicurezza dei trattamenti è a carico del responsabile esterno, ma soprattutto del titolare, che deve verificare in maniera costante ed essere in grado di comprovare, in ottica di accountability, che ciò che si sta facendo o che è stato affidato a servizi esterni garantisca il rispetto di tutti i principi espressi dal GDPR, per non incorrere in sanzioni, talvolta anche ingenti.

Purtroppo, quindi, non basta affidare ad altri un servizio per esaurire la propria responsabilità sui dati trattati.

Questo è proprio il caso di un’azienda ospedaliera che aveva affidato ad un outsourcer informatico la gestione delle domande online per la partecipazione ad un concorso e per la preselezione dei concorrenti ma a causa di un disservizio il sistema ha permesso che i dati dei candidati alla selezione fossero liberamente accessibili online.

In aggiunta a ciò, è emerso che il titolare del trattamento non aveva fornito ai propri interessati una idonea informativa e non aveva regolamentato il rapporto con il proprio fornitore: mancando la nomina a responsabile esterno il trattamento dei dati effettuato da quest’ultimo non era assolutamente lecito.

I dati, anche relativi alla salute, venivano quindi trattati, comunicati e diffusi in assenza di una idonea base giuridica.

Il Garante ha quindi previsto una sanzione pecuniaria sia per il Titolare che per il Responsabile (80 mila euro per il primo, 60 mila per il secondo), perché nonostante il disservizio e la diffusione dei dati sia stato causato dal fornitore esterno, il titolare ha la colpa di non avere adempiuto ai suoi obblighi di verifica e nomina del responsabile esterno e di non aver fornito le informative, come da art. 13 GDPR, agli interessati del trattamento.

Entrambi hanno violato quanto previsto dall’articolo 32 del GDPR per cui “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischioe di conseguenza sono corresponsabili di quanto accaduto.

Inoltre, tenuto conto che la diffusione delle informazioni relative ai candidati ha riguardato anche dati sanitari, il Garante ha predisposto la pubblicazione sul proprio sito internet della ragione sociale e dei dati di contatto sia del Titolare che del fornitore. Quest’ultimo in particolare, essendo un’azienda privata, subirà probabilmente un danno di immagine che andrà ben oltre la mera sanzione pecuniaria, in termini di reputazione e di possibili futuri mancati guadagni.

In conclusione, quindi, è bene ricordare che il titolare del trattamento deve assicurarsi che i servizi che affida all’esterno siano supportati da efficaci misure di sicurezza, idonee a proteggere i dati, e che tale fornitura sia disciplinata da una nomina che legittimi il trattamento dei dati da parte del proprio fornitore.

Oltre ad effettuare la nomina del responsabile esterno sarebbe anche opportuno che ne verificasse lo stato di compliance al GDPR, a partire dalla presenza di un DPO, soprattutto nel caso in cui il fornitore sia tra le categorie che hanno l’obbligo di nominarlo, per esempio, come in questo caso, una società che opera in campo informatico.

Se il responsabile esterno non ha nominato un DPO, esterno o interno, sarebbe bene che il titolare ne chiedesse una giustificazione scritta da inserire all’interno della propria documentazione privacy, o, in alternativa, valutasse la possibilità di appoggiarsi ad un nuovo fornitore, per non rischiare di incorrere in sanzioni nel caso di incidenti o violazioni e risultare corresponsabile come nel caso in esame.

È importante non farsi trovare impreparati! Verificate di avere effettuato i dovuti controlli sui fornitori e di averli correttamente nominati responsabili esterni!
Se anche non avete necessità di nominare un DPO potete comunque rivolgervi a noi, per una verifica della vostra documentazione.

dpo esterno
Scopri di più sull'autore di questo articolo!
servizio dpo

Protezione dei Dati Sensibili:
il DPO come consigliere

L'autore

BEATRICE BARDELLI

BEATRICE BARDELLI

DPO
Esperta in revisione documentale e compliance
Scienze forensi e Criminologiche
Project management
Consulente Certificato PrivacyLab

Bio dell'Autore

Credi che un’azienda abbia usato i tuoi dati sensibili impropriamente oppure ritieni di aver compilato un form non in linea con la Privacy Policy vigente? 

Sai come comportarti ora? 

Se la risposta è no, sei nel posto giusto.

 

Ti spieghiamo come muoverti.

 

Innanzitutto sappi che ci sono due possibilità: puoi interpellare direttamente il Garante Privacy, un iter che a volte risulta frustrante per i lunghi tempi di risposta oppure puoi contattare il DPO dell’azienda.

Il DPO?

Yes, il Data Protection Officer o Responsabile Protezione Dati una figura  che molte tipologie di aziende che trattano  grandi quantità di dati, anche sensibili (o particolari), sono tenute a nominare. 

Possiamo sbilanciarci dicendo che anche le aziende che non sono tenute alla nomina di un DPO potrebbero nominarne uno, per ridurre i rischi sui trattamenti dei dati: questo fa parte dell’accountability del buon amministratore delegato! 

Un’azienda attenta al trattamento dati è sicuramente un’azienda che li gestisce attraverso l’ausilio di un DPO esperto e certificato. Quindi puoi accorgerti dell’interesse aziendale verso la tutela dei dati anche dalla presenza o meno di questa figura.

Se vuoi approfondire le caratteristiche del DPO, puoi leggere QUESTO ARTICOLO su questa figura professionale e fare un po’ di chiarezza. 

Ora che sai le due vie che puoi intraprendere, sta a te la scelta.

Noi ti spieghiamo quella che interpella il DPO, che spesso risulta essere la via più breve. 

Innanzitutto, come fai a parlare con il DPO dell’azienda?

Tutti i dati per contattare il Responsabile sono presenti in azienda e questa è tenuta a fornirteli qualora tu glieli chiedessi. Può capitare che ti venga negata la possibilità di contattarlo o l’accesso ai suoi dati: questo non può succedere!

Tu come interessato hai il diritto di interpellare il DPO dell’azienda per avere chiarimenti sul trattamento dei tuoi dati.

Puoi interpellare il DPO se ti accorgi che forse l’azienda ha raccolto i tuoi dati senza il tuo consenso, se li utilizza in maniera a te sconosciuta o ogni qualvolta ti vengano dubbi sulla liceità del loro trattamento. 

Il DPO diventerà il tuo nuovo consigliere in materia di protezione dati!


Puoi porgergli tutte le domande necessarie e saprà risponderti velocemente, dicendoti con chiarezza come vengono utilizzati i tuoi dati, se sono stati raccolti e utilizzati correttamente. Saprà far valere i tuoi diritti come parte interessata.

Ora che sei a conoscenza che grazie a questa figura c’è un ponte tra te, l’azienda e il Garante Privacy, potrai scegliere come muoverti, consapevole di ciò che hai diritto di fare per tutelare i tuoi dati quindi tutte le tue informazioni sensibili. 

Vogliamo solo aggiungere che, qualora non fossi soddisfatto del lavoro svolto dal DPO, delle risposte che ti sono state fornite, puoi procedere liberamente interpellando il Garante Privacy!

Ti stanno sorgendo altri dubbi? Ti sei reso conto leggendo che forse hai compilato un form con una Privacy Policy incerta? Ricevi messaggi di pubblicità mai richiesti?

Ti aiutiamo noi! 


Per queste e tutte le altre domande che ti balenano in testa, puoi contattarci con una mail, sui nostri canali social o chiamandoci: il nostro team di esperti DPO certificati saprà darti le risposte che cerchi!

Scopri di più sull'autore di questo articolo!
servizio dpo

Cosa succede con la dichiarazione di illegittimità del Privacy Shield?

L'autore

BEATRICE BARDELLI

BEATRICE BARDELLI

DPO
Esperta in revisione documentale e compliance
Scienze forensi e Criminologiche
Project management
Consulente Certificato PrivacyLab

Bio dell'Autore

La Corte di Giustizia dell’Unione Europea (CGUE) si è pronunciata il 16 Luglio 2020 con la cosiddetta “Sentenza Schrems II” invalidando la decisione di adeguatezza delle tutele offerte dal regime del Privacy Shield, l’accordo UE-USA per la protezione dei dati personali oggetto di trasferimento transatlantico, valutando la normativa degli Stati Uniti (Art. 702 della FISA ed EO 12333) non adeguata a garantire un livello di protezione sostanzialmente equivalente a quello previsto dal regolamento europeo 679/2016.

Da più parti l’interrogativo: “Che cosa cambia per chi trasferiva dati negli Stati Uniti o in paesi terzi extra europei o si avvaleva di fornitori che appoggiano i loro servizi all’estero basandosi sulla legittimità del trasferimento su Privacy Shield? Occorre rifare tutti i contratti?”.

Con la dichiarata invalidità dell’accordo di Privacy Shield i trasferimenti sulla base di tale quadro giuridico sono illegali.

Pertanto, qualora si desideri continuare a trasferire i dati verso gli Stati Uniti, occorre verificare se ciò sia possibile secondo le condizioni di seguito indicate.

È chiaro che come espresso dal GDPR i trattamenti effettuati dal responsabile esterno per conto del titolare dovranno ancora essere disciplinati da un contratto che specifichi la durata, la natura, le finalità del trattamento, i tipi di dati trattati (art. 28) e le misure tecniche organizzative messe in atto per garantire un adeguato livello di sicurezza (art.32)

Questo accordo tra le parti è costituito dal cosiddetto “DPA” – Data Processing Agreement. Un DPA è richiesto generalmente quando il responsabile del trattamento elabora i dati personali a lui affidati per conto del titolare.

Nel caso in cui il responsabile esterno effettui anche il trasferimento dei dati in paesi extra UE, in assenza di valutazioni di adeguatezza del paese di destinazione, è necessario integrare questo contratto tra le parti prevedendo misure e garanzie ulteriori, le cosiddette Clausole contrattuali standard.

Nelle conclusioni della sentenza sopra citata, la Corte di Giustizia Europea ha dichiarato che, in seguito all’esame della decisione n. 2010/87/CE della Commissione europea, le clausole contrattuali tipo (“SCC”) mantengono la loro validità. Lo stesso vale per le norme vincolanti d’impresa, con l’aggiunta, come vedremo di seguito, di particolari valutazioni in merito all’adeguatezza del Paese di destinazione e una forte responsabilizzazione sia dei titolari del trattamento che dei responsabili esterni.

Le Clausole Contrattuali Standard (SCC – Standard Contractual Clauses) e le Norme Vincolanti D’Impresa (BCR – Binding Corporate Rules)

 

Riprendendo le definizioni che si possono trovare sul sito del Garante italiano al seguente LINK, vediamo ora in cosa consistono le Clausole Contrattuali Standard e le Norme vincolanti d’impresa.

  • Le Clausole Contrattuali Standard (“SCC – Standard Contractual Clauses”), rappresentate da clausole tipo o clausole contrattuali ad hoc per la protezione dei dati, vengono incorporate negli accordi contrattuali utilizzati per il trasferimento dei dati, stipulati tra il titolare (o il responsabile esterno) europeo esportatore dei dati e il titolare (o responsabile esterno) extra europeo importatore dei dati.
    In pratica, incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nel Regolamento anche nel Paese terzo o all’interno dell’organizzazione di destinazione. È importante sottolineare che le clausole tipo di protezione dati non ammettono modifiche e devono essere sottoscritte dalle parti. Tuttavia, esse possono essere incorporate in un contratto più generale e vi si possono aggiungere clausole ulteriori purché non in conflitto, direttamente o indirettamente, con le clausole tipo adottate.
  • Le Norme Vincolanti D’Impresa (“BCR”Binding Corporate Rules) sono, invece uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune.
    Le BCR costituiscono un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali.
    Sono costituite da un documento contenente una serie di clausole che fissano i principi vincolanti espressamente individuati all’art. 47, paragrafi 1 e 2, del Regolamento UE 2016/679, al cui rispetto sono tenute tutte le entità appartenenti ad uno stesso gruppo.

È quindi ancora possibile trasferire i dati in un paese terzo extra europeo integrando i propri contratti con le Clausole contrattuali standard o le norme vincolanti d’impresa. Occorre però, a questo punto, verificare che il livello di protezione richiesto dal diritto dell’Unione europea sia rispettato nel Paese terzo in questione al fine di determinare se le garanzie fornite possano essere rispettate anche nella pratica. In caso contrario, come chiarito dalle FAQ dell’EDPB sulla sentenza Schrems II (è possibile leggere le FAQ tradotte dal Garante italiano QUI), occorre valutare se sia possibile prevedere misure supplementari da introdurre, che devono essere però stabilite caso per caso, al fine di garantire un livello di protezione sostanzialmente equivalente a quello previsto nello Spazio economico europeo. In particolare, occorre assicurarsi che la legislazione del paese terzo verso cui si trasferiscono i dati non consenta interferenze nei riguardi di tali misure supplementari con il rischio di comprometterne di fatto l’efficacia.

Qualora l’esportatore o l’importatore dei dati nel paese terzo constati che i dati trasferiti ai sensi delle SCC o delle BCR non godono delle medesime garanzie previste dall’Unione europea, occorre sospendere immediatamente i trasferimenti.

Le deroghe previste dall’articolo 49 del GPDR

 

In alternativa, qualora non sia possibile effettuare un trasferimento basandosi su una decisione di adeguatezza, sulle SCC o sulle BCR, è ancora possibile trasferire i dati personali negli Stati Uniti in base ad alcune deroghe previste dall’articolo 49 del GDPR, purché siano soddisfatte le condizioni espresse in tale articolo.

Tra le varie possibilità a disposizione è possibile decidere di basare il trasferimento sul consenso dell’interessato ma è opportuno ricordare che, quando i trasferimenti sono basati sul consenso, esso dovrebbe essere:

  • esplicito;
  • specifico, con riguardo al particolare trasferimento o insieme di trasferimenti (il che significa che l’esportatore deve assicurarsi di ottenere un consenso specifico prima che il trasferimento sia messo in atto anche se ciò avviene dopo la raccolta dei dati);
  • informato, in particolare sui possibili rischi del trasferimento (il che significa che l’interessato dovrebbe essere informato anche dei rischi specifici derivanti dal trasferimento dei dati verso un paese che non fornisce una protezione adeguata, e dell’assenza di misure di salvaguardia adeguate volte a proteggere i dati).
Oppure, è possibile anche decidere di effettuare un trasferimento dei dati per l’esecuzione di un contratto tra l’interessato e il titolare del trattamento ma occorre tenere presente che i dati personali, in questo caso, possono essere trasferiti solo su base occasionale, in maniera non ripetitiva e se riguardano un numero limitato di interessati.
Qualora venga a mancare una di queste condizioni il trasferimento di dati fondato su queste basi giuridiche diventerebbe illegittimo.
 

I responsabili esterni al trattamento

 
Infine, occorre porre particolare attenzione ai fornitori Responsabili esterni al trattamento) di cui ci si avvale, soprattutto per quanto riguarda i servizi tecnologici e di telecomunicazione e questo tenuto conto che l’annullamento del Privacy Shield si applica non solo alle Aziende poste su suolo extra UE ma anche a quelle che hanno sedi su territorio europeo ma sono controllate da società americane.
Si raccomanda quindi di effettuare un’analisi puntuale dei fornitori di servizi con cui si sono stipulati contratti. Molto spesso, infatti, tali fornitori si avvalgono a loro volta di sub fornitori, rendendo complessa la ricostruzione del percorso effettuato dai dati affidati all’esterno.
 
Il titolare ha l’obbligo di verificare che i servizi che affida all’esterno si appoggino a fornitori e sub fornitori adeguati. Così come secondo l’articolo 28 del GDPR anche il responsabile esterno ha il dovere di segnalare al titolare del trattamento se vi siano elementi che possano entrare in contrasto con la conformità normativa e deve garantire con accuratezza, perizia e diligenza la specifica di tutti i sub fornitori di cui si avvale e della loro conformità, soprattutto se effettua il trasferimento dei dati fuori dall’Unione europea.
 
Vi invitiamo a controllare, quindi, i contratti stipulati con i Vostri fornitori per verificare che l’eventuale trasferimento dei dati negli Stati Uniti o fuori dal territorio europeo sia vincolato ad una base giuridica legittima.
 
Non esitate a contattarci per avere maggiori informazioni, chiarimenti o approfondimenti per quanto concerne l’abolizione del Privacy Shield e le sue implicazioni.
Inoltre, qualora abbiate dubbi o domande sulle pratiche da adottare o sull’adeguatezza dei contratti stipulati con fornitori che trasferiscono all’estero i vostri dati o se dovessero insorgere problemi, potete contattarci direttamente per effettuare una verifica puntuale della situazione.
dpo esterno
Scopri di più sull'autore di questo articolo!

Internet come Utility essenziale

L'autore

BEATRICE BARDELLI

BEATRICE BARDELLI

DPO
Esperta in revisione documentale e compliance
Scienze forensi e Criminologiche
Project management
Consulente Certificato PrivacyLab

Bio dell'Autore
“Andreste in questa bellissima casa in mezzo al bosco con tutti i servizi, per una vacanza pagata di un anno, ma senza connessione internet, né cellulare?”.


Quante volte avete letto questo annuncio sulle pagine dei social e tra gli articoli di numerosi giornali online?

Nessuno, di primo acchito rinuncerebbe ad una vacanza pagata di un anno, anche a costo di qualche sacrificio. Eppure, più passa il tempo, più l’idea di stare staccati dalla rete – da tutti i servizi della rete – per 365 giorni diventa un tarlo che ingrassa e si fa più minaccioso.

La rete, un servizio sempre più essenziale

Certo, ci sarà qualcuno che accetterà, ma per la maggior parte di noi altri la verità è un’altra: la connessione di rete internet – più comunemente conosciuta come: internet – è diventata un servizio essenziale, al pari di luce, acqua e gas.

E ai primi della classe che stanno già alzando la mano per dire che gli altri sono servizi vitali, ricordo che fino a 100 anni fa si viveva in case senza elettricità, prendendo l’acqua dai pozzi vicini, e scaldandosi come si poteva. Le società cambiano e diventano più complesse, e più questa complessità aumenta, più i servizi fino a pochi anni prima considerati accessori diventano imprescindibili.

Pensiamo solamente alla quarantena che ci ha costretto in casa nei mesi della pandemia.

Al di là dell’utilizzo consumistico della rete per acquisti o per fruire di contenuti, la connessione è stata fondamentale per portare avanti lezioni online, smartworking, comunicare con chi viveva in situazioni di disagio, malattia o anche, semplicemente, solitudine.

O ancora la posta elettronica, diventato il più importante mezzo di comunicazione sia in ambito privato che professionale, sostituendo lettere cartacee, fax e altre modalità ormai desuete. Anche per il garante della privacy la posta elettronica deve avere la stessa tutela di quella ordinaria. Per non parlare della PEC, la posta elettronica certificata, spesso l’unico canale di comunicazione con le pubbliche amministrazioni, per il valore legale di raccomandata con avviso di ricevimento.

Internet come utilities: giurisprudenza e DPO


La giurisprudenza italiana definisce servizi pubblici essenziali “le prestazioni di rilevante interesse pubblico e generale, destinate alla collettività da soggetti pubblici (Stato, Regioni, Città metropolitane, Province, Comuni, altri enti) o privati; esse sono indefettibili e garantite dallo stesso Stato”.

È un servizio inalienabile, che non può esserci tolto proprio perché garantisce il benessere della collettività. Tra i servizi pubblici ci sono quelli che riguardano la tutela della vita e la salute, la sicurezza, la libertà di circolazione, l’assistenza e la previdenza sociale, l’istruzione e anche la libertà di comunicazione.

Quest’ultimo paragrafo contempla poste, telecomunicazione e informazione radiotelevisiva. Basta aggiornarlo un po’, ed ecco che diventa Internet. Ne consegue che la mancanza di connessione si trasforma in uno svantaggio non solo per i singoli che ne sono esclusi, ma anche per tutta la comunità, allo stesso modo di altri servizi essenziali (come ad esempio la raccolta dei rifiuti, non viene danneggiato solo chi ne è escluso).


Detta in altre parole, la fruizione di internet non può più essere considerata un lusso, ma deve essere una necessità.

Il fornitore del servizio di connessione, o chi lo gestisce, da questo punto di vista, viene in tutto e per tutto associato alle utilities, ovvero tutti quei servizi privati ma di pubblica utilità come la fornitura di luce, acqua e gas le cui attività principali, consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di dati su larga scala, ma necessitano anche della costante verifica delle misure di sicurezza. Proprio per la natura particolare di questi servizi, appunto essenziali, non si può rischiare una sospensione della fornitura a causa di una falla nella sicurezza.

Il DPO anche in assenza di obbligo

Ricordate quando abbiamo parlato del DPO, il supervisore della tutela dei dati?
Come detto questa figura è obbligatoria per le aziende pubbliche, e per tutte le utilities. Il Comitato europeo per la Protezione dei Dati (EDPB, un organismo indipendente europeo nato – tra le altre cose – per garantire un’applicazione conforme del GDPR), suggerisce la nomina di un DPO anche quando non obbligatorio, nei casi sopracitati.

Un altro motivo per cui una utility – e anche un servizio come la fornitura o la gestione di connessione a internet – dovrebbe nominare un DPO anche in assenza di obbligo, è la necessità di valutare il livello di rischio potenziale in rapporto alla quantità e alla tipologia dei dati trattati, e attuare le misure e i trattamenti necessari a proteggerli. 

Inoltre il DPO, nel verificare che l’azienda lavori in regola con la normativa della privacy, diventa un referente, una figura di tutela dei diritti dei cittadini.

Se hai dei dubbi su un servizio di cui fruisci, scrivi al DPO. I suoi contatti si trovano – o dovrebbero trovarsi – nell’informativa dell’azienda.

Se hai bisogno di supporto o vuoi un chiarimento, o semplicemente hai delle domande da porre ai nostri DPO, non esitare a contattarci!

 

Se sei un’azienda e non sai se hai l’obbligo di nomina o semplicemente, vorresti sapere se un DPO potrebbe aiutarti ad essere più sicuro e tutelato in materia di Protezione Dati, siamo disponibili per fornirti tutti le informazioni che cerchi. 

Scopri di più sull'autore di questo articolo!