LE SANZIONI DEL GARANTE A TIM – ALCUNI SPUNTI – 2
IL CONTROLLO DELLA FILIERA
Imprese e organizzazioni hanno l’obbligo di interessarsi al “destino” dei dati personali che raccolgono e utilizzano per svolgere la propria attività.
Quando i titolari del trattamento – coloro, cioè, che ne determinano finalità e mezzi – delegano, in tutto o in parte, le proprie attività ad altri soggetti (i responsabili del trattamento, che agiscono in loro nome e per loro conto), non possono e non devono disinteressarsi del destino dei dati.
Per questo, devono affidarsi a soggetti che dal punto di vista organizzativo e tecnico sono in grado di garantire che i trattamenti saranno svolti, per così dire, a regola d’arte; devono, inoltre, istruirli e controllarli, anche mediante audit mirati, con il duplice obiettivo di verificare nel tempo il corretto recepimento delle istruzioni ricevute e l’adeguatezza delle misure di sicurezza adottate.
È perciò altamente sconsigliabile non “regolarizzare” il rapporto in essere con i propri clienti e/o fornitori. I contratti di servizio esistenti devono essere emendati con opportune clausole o integrati da uno specifico accordo che regolamenti i trattamenti delegati di dati personali (a cui per brevità ci riferiremo con il termine DPA, dall’inglese Data Processing Agreement).
Non si tratta di eccezioni né di casi sporadici. Ancora oggi molti, semplicemente, non si sono posti il problema; altri, invece, rimandano, spaventati dal fatto di assumersi per iscritto importanti responsabilità. Per inciso, le responsabilità esistono indipendentemente dalla sottoscrizione della DPA.
Non regolamentare il rapporto tra titolare e responsabile del trattamento è una scelta che può avere importanti conseguenze in quanto, se non sostenuto da un atto giuridico, il trattamento si configura come illecito, con conseguenze ancora peggiori.
Questo non è sempre chiaro, sembra; così come non sempre è chiaro il rispetto della legge è un obbligo di tutti gli attori del trattamento, non una concessione che il responsabile del trattamento fa al titolare a fronte del pagamento di un corrispettivo.
A meno di motivazioni specifiche e di situazioni particolari, le spese eventualmente sostenute dal fornitore per il recepimento della normativa non rilevano; coloro che condizionano la firma del DPA al pagamento di una cifra in denaro per assicurare la conformità dimostrano di non aver compreso le proprie responsabilità.
È allo stesso modo sconsigliabile utilizzare modelli standard di DPA, da personalizzare inserendo semplicemente i propri dati anagrafici e quelli del fornitore, per redigere l’accordo di trattamento.
La definizione delle attività e le istruzioni sono legate allo specifico contesto e un atto stipulato sulla base di una declaratoria di responsabilità standardizzata non tutela né il titolare né il responsabile del trattamento; è importante che il DPA rifletta la situazione reale dei processi delegati, anche perché sarà sulla base del suo contenuto e delle responsabilità ivi descritte che saranno valutate eventuali sanzioni amministrative.
Inoltre, è bene che la “catena dei trattamenti”, inclusi eventuali sub-responsabili coinvolti per l’esecuzione di parti del processo, sia chiara fin dall’inizio, proprio nell’ottica della trasparenza. Titolare e responsabile del trattamento devono collaborare e condividere ogni informazione rilevante per poterne rispondere in modo documentato.
Nel caso che stiamo esaminando, è stato rilevato che i testi contrattuali presentavano alcune carenze sia nella determinazione dei processi consentiti sia nella definizione delle misure tecniche e organizzative da adottare in relazione ad alcune categorie di dati.
Il consiglio, quindi, è di prestare la dovuta attenzione a questo aspetto.
In merito ai dati personali, sapere “chi” è autorizzato a fare “cosa” e “come” è autorizzato a farlo – sia al proprio interno che esternamente – è obbligatorio.
Quando gli elementi del trattamento e le informazioni pertinenti prendono forma nero su bianco nel DPA, ci si accorge di quanto sia poco opportuno lavorare con il “copia e incolla” per costruire un documento accettabile. Se è importante semplificare, agire con superficialità non paga.
… continua …
