La responsabilità di controllo del titolare

Quanto è importante nominare un responsabile esterno quando esternalizziamo un servizio?

Una volta effettuata la nomina, la responsabilità del titolare si esaurisce? Assolutamente no!

La responsabilità di controllo e verifica delle misure attuate per garantire la sicurezza dei trattamenti è a carico del responsabile esterno, ma soprattutto del titolare, che deve verificare in maniera costante ed essere in grado di comprovare, in ottica di accountability, che ciò che si sta facendo o che è stato affidato a servizi esterni garantisca il rispetto di tutti i principi espressi dal GDPR, per non incorrere in sanzioni, talvolta anche ingenti.

Purtroppo, quindi, non basta affidare ad altri un servizio per esaurire la propria responsabilità sui dati trattati.

Questo è proprio il caso di un’azienda ospedaliera che aveva affidato ad un outsourcer informatico la gestione delle domande online per la partecipazione ad un concorso e per la preselezione dei concorrenti ma a causa di un disservizio il sistema ha permesso che i dati dei candidati alla selezione fossero liberamente accessibili online.

In aggiunta a ciò, è emerso che il titolare del trattamento non aveva fornito ai propri interessati una idonea informativa e non aveva regolamentato il rapporto con il proprio fornitore: mancando la nomina a responsabile esterno il trattamento dei dati effettuato da quest’ultimo non era assolutamente lecito.

I dati, anche relativi alla salute, venivano quindi trattati, comunicati e diffusi in assenza di una idonea base giuridica.

Il Garante ha quindi previsto una sanzione pecuniaria sia per il Titolare che per il Responsabile (80 mila euro per il primo, 60 mila per il secondo), perché nonostante il disservizio e la diffusione dei dati sia stato causato dal fornitore esterno, il titolare ha la colpa di non avere adempiuto ai suoi obblighi di verifica e nomina del responsabile esterno e di non aver fornito le informative, come da art. 13 GDPR, agli interessati del trattamento.

Entrambi hanno violato quanto previsto dall’articolo 32 del GDPR per cui “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” e di conseguenza sono corresponsabili di quanto accaduto.

Inoltre, tenuto conto che la diffusione delle informazioni relative ai candidati ha riguardato anche dati sanitari, il Garante ha predisposto la pubblicazione sul proprio sito internet della ragione sociale e dei dati di contatto sia del Titolare che del fornitore. Quest’ultimo in particolare, essendo un’azienda privata, subirà probabilmente un danno di immagine che andrà ben oltre la mera sanzione pecuniaria, in termini di reputazione e di possibili futuri mancati guadagni.

In conclusione, quindi, è bene ricordare che il titolare del trattamento deve assicurarsi che i servizi che affida all’esterno siano supportati da efficaci misure di sicurezza, idonee a proteggere i dati, e che tale fornitura sia disciplinata da una nomina che legittimi il trattamento dei dati da parte del proprio fornitore.

Oltre ad effettuare la nomina del responsabile esterno sarebbe anche opportuno che ne verificasse lo stato di compliance al GDPR, a partire dalla presenza di un DPO, soprattutto nel caso in cui il fornitore sia tra le categorie che hanno l’obbligo di nominarlo, per esempio, come in questo caso, una società che opera in campo informatico.

Se il responsabile esterno non ha nominato un DPO, esterno o interno, sarebbe bene che il titolare ne chiedesse una giustificazione scritta da inserire all’interno della propria documentazione privacy, o, in alternativa, valutasse la possibilità di appoggiarsi ad un nuovo fornitore, per non rischiare di incorrere in sanzioni nel caso di incidenti o violazioni e risultare corresponsabile come nel caso in esame.

È importante non farsi trovare impreparati! Verificate di avere effettuato i dovuti controlli sui fornitori e di averli correttamente nominati responsabili esterni!
Se anche non avete necessità di nominare un DPO potete comunque rivolgervi a noi, per una verifica della vostra documentazione.