Gdpr, come selezionare la catena di fornitori?

Se la tua azienda richiede servizi in outsourcing e il fornitore non è “compliant” al GDPR, il danno provocato da un accesso indebito a informazioni personali, sai chi lo paga?

La tua azienda.

Si chiama danno punitivo.

Quindi, meglio soffermarsi e chiedersi come scegliere un fornitore che sia compliant!

Facciamo un tipico esempio: esternalizzazione del reparto contabilità o dei servizi di posta elettronica (anche e-mail marketing!).

Se usi fornitori esterni e questi entrano in contatto con i dati personali di cui sei titolare, resti responsabile delle informazioni che non controlli e del processo che esse subiscono.

Il GDPR richiede che tu prenda le adeguate misure sia tecniche che organizzative per proteggere le informazioni personali che tratti, sia se sei tu ad elaborarle e trattarle sia se lo fa qualcun altro per te.

Per decidere quali misure intraprendere devi conoscere:

– che tipo di informazioni hai;
– a quale tipo di danno vai incontro;
– le tecnologie disponibili per proteggere le informazioni;
– quanto costa assicurare un alto livello di sicurezza.

Quando consideri un fornitore, devi scegliere quello che effettua il suo lavoro in maniera sicura e devi garantirti di avere la possibilità di controllare cosa fa. 

Leggi l’articolo sulla relazione annuale dell’Autorità garante della privacy, Antonello Soro.

Devi stilare con esso un contratto scritto (a norma dell’articolo 28 del GDPR, che ne disciplina il contenuto), assicurati in particolare che:

– il fornitore tratti i dati personali che gli affiderai in linea con le istruzioni scritte che gli impartirai;
– che il fornitore adotti le misure di sicurezza più appropriate.

Fai attenzione anche a dove il fornitore tratterà i dati. E’ vietato, infatti, esportare i dati personali fuori dal territorio del Spazio Economico Europeo anche se questo passaggio va chiarito: puoi esternalizzare il servizio ad un fornitore fuori dal SEE (per esempio ad un servizio di hosting in territorio asiatico, o ad un’azienda negli Stati Uniti) solo se poni in essere le garanzie previste dal GDPR (clausole contrattuali standard, decisioni di adeguatezza, Privacy Shield, norme vincolanti d’impresa ecc.)

Il GDPR richiede infatti, che se le informazioni vengono trasferite fuori dallo Spazio Economico Europeo debbano essere accompagnate da un adeguato livello di protezione.

Fai sempre attenzione comunque, perché anche quando puoi trasferire le informazioni fuori dallo SEE o quando esse restano in UE, devi sempre garantire che siano protette.

Ecco 3 modi utili per creare un appropriato livello di protezione del dato personale:

– fare un uso appropriato delle misure di sicurezza (che devono essere basate sul rischio: ad esempio se esporti i dati in un Paese fuori dal SEE basandoti solo sulle clausole contrattuali standard, il livello di rischio che corrono i dati è più elevato, sotto il profilo privacy, di quando esse vengono trattate in UE: quindi hai bisogno di misure di sicurezza più stringenti);
– la selezione del giusto partner commerciale: devi assicurarti, con appositi controlli precontrattuali, che garantisca le misure di sicurezza che ti servono;
– la restrizione dell’uso delle informazioni (che ha natura per lo più contrattuale: il fornitore deve garantirti che manterrà le informazioni riservate e che anche i suoi dipendenti manterranno la riservatezza sui dati personali perché li ha contrattualmente vincolati a sua volta in tal senso).

E’ importante fare attenzione al fatto che i termini del contratto siano applicabili nel luogo dove il responsabile del trattamento (il tuo outsourcer) ha la sua sede.

Richiedi una consulenza per adeguare la tua attività al gdpr

Cosa significa “misure appropriate di sicurezza”?
Per decidere quali siano, bisogna considerare:
– il tipo di informazione;- il potenziale danno;
– le tecnologie disponibili;
– i rischi del paese “fornitore”;
– la legislazione del paese di quest’ultimo.

Considera inoltre le altre legislazioni:
– i rischi che esse presentano;
– la probabilità che tu o il tuo fornitore possiate avere a che fare con questo tipo di legislazione;
– come affronterai la situazione nel caso sorgessero problemi.

Devi essere certo che hai implementato tutte le misure e le procedure necessarie per affrontare ogni richiesta che dovesse pervenirti da parte dei tuoi interessati o che lo possa fare anche il tuo fornitore.

Riassumendo:

– Selezione di fornitori con un’ottima reputazione e che possono offrire garanzie circa la loro capacità di assicurare la sicurezza sui dati personali;
– Assicurarsi che il contratto posto in essere con il fornitore sia valido ed efficace sia in UE sia nella nazione del tuo fornitore;
– Assicurarsi che il fornitore abbia implementato tutte le misure di sicurezza appropriate;
– Assicurarsi che i fornitori facciano i controlli appropriati ai loro dipendenti, e li abbiano vincolati alla riservatezza;
– Fare audit regolarmente per assicurarsi che siano l’altezza;
– Garantirsi di ricevere dal fornitore report per ogni problema inerente il trattamento e soprattutto in caso di violazione della sicurezza (data breach);
– Implementare procedure che permettano di agire rapidamente ed efficacemente nel caso si riceva uno dei report di cui al punto precedente.

Emma Gabriele