Criteri di valutazione e qualifica del fornitore che deve essere inquadrato come Responsabile del trattamento ai sensi del Gdpr
Quando si tratta il tema dei fornitori che devono essere inquadrati come “Responsabili del trattamento” si analizzano le problematiche relative alla documentazione contrattuale; più raramente si affrontano i criteri di prequalifica (valutazione inziale prima dell’avvio del rapporto contrattuale) e di qualifica nel tempo (valutazione dinamica). Il presente articolo tratta i criteri necessari per valutare un potenziale Responsabile, prima di affidargli uno o più trattamenti, ponendo l’accento sugli aspetti afferenti alla protezione dei dati personali.
(Nella foto: l'Ing. Monica Perego, docente del Corso di alta formazione 'Il sistema di gestione della privacy e le attività di audit')
La qualifica e la valutazione del fornitore - La qualifica di un fornitore, nel ruolo di potenziale Responsabile del trattamento, avviene in due step:
- qualifica inziale, prima della sottoscrizione del rapporto contrattuale: si valuta se la controparte fornisce quando richiede l’art. 28 par. 1) del GDPR “…ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato….”;
- qualifica dinamica, ad intervalli di tempo: si valuta se il fornitore, una volta che il rapporto è stato contrattualizzato, continua a fornire le garanzie richieste e adempie a quanto previsto contrattualmente.
Come misure di accountability è opportuno prevedere che:
- i criteri di qualifica, sia iniziale che dinamica, siano descritti in procedure afferenti al sistema di gestione integrato del Titolare;
- la documentazione a supporto della scelta effettuata dal Titolare sia conservata per dare riscontro a quando richiesto, ad esempio in sede di audit e/o di ispezione.
La messa in atto di tali misure di accountability serve a fornire un riscontro tangibile a quanto richiede il Regolamento UE 2016/679, nel sopraccitato articolo, laddove utilizza, in modo specifico, l’avverbio “unicamente”.
Criteri di valutazione dei Responsabili del trattamento: qualifica inziale - I criteri di qualifica iniziale di un fornitore, non necessariamente di un Responsabile, si basano su un’ampia serie di fattori: economici, reputazionali, in alcuni casi anche logistici (ad esempi nel caso di fornitura di servizi di assistenza informatica, che non sempre possono essere erogati a distanza). Tra i criteri di qualifica iniziale da considerare, alcuni sono specifici del caso in cui il fornitore si configuri come Responsabile del trattamento. Tali criteri si basano su elementi che possono prevedere:
- elementi di qualifica che può esibire il potenziale fornitore;
- elementi di qualifica che può ottenere il Titolare in modo diretto;
- elementi di qualifica che può ottenere il Titolare in modo indiretto.
In primis, i criteri si devono basare su quanto si richiede nel Considerando 81 del GDPR, ove recita che il Titolare “ … ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento. L'applicazione da parte del responsabile del trattamento di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare il rispetto degli obblighi da parte del titolare del trattamento….”.
Elementi di qualifica che può esibire il potenziale fornitore:
- posizione di leadership/monopolio sul mercato, legami ed interdipendenze con altre società leader di mercato;
- reputazione a livello nazionale/internazionale;
- certificazione del sistema di gestione qualità a fronte della UNI EN ISO 9001; essa assicura il possesso di procedure volte a dare evidenza del rispetto dei requisiti definiti contrattualmente e quindi del rispetto delle esigenze espresse dal Titolare del trattamento;
- certificazione del sistema di gestione della sicurezza delle informazioni ISO/IEC 27001; essa garantisce una serie di misure, attuate tramite controlli, sulla capacità del fornitore di garantire riservatezza, disponibilità ed integrità dell’insieme dei dati trattati per conto del cliente e considera, in caso di perdita di tali garanzie, gli impatti e le conseguenze a lungo termine sull'organizzazione;
- certificazione del sistema di gestione della sicurezza delle informazioni ISO/IEC 27701 – garantisce una serie di misure, attuate tramite controlli, sulla capacità del fornitore, in caso di perdita di riservatezza, integrità e disponibilità, di tenere sotto controllo la sicurezza dei dati personali riguardo agli impatti sugli interessati, in relazione ai loro diritti e libertà;
- altre certificazioni come ad esempio lo schema di certificazione ISDP©10003 (valutazione di conformità GDPR);
- capacità di dare riscontro a quanto previsto dal considerando 77 del GDPR, laddove recita “…l'individuazione di migliori prassi per attenuare il rischio [sui dati che potrebbero essere trattati dal Responsabile per conto del Titolare], che potrebbero essere fornite in particolare mediante codici di condotta approvati, certificazioni approvate, linee guida fornite dal comitato o indicazioni fornite da un responsabile della protezione dei dati….”;
- esperienza specifica nel settore in cui opera il Titolare, attestata da referenze documentate; questo elemento è particolarmente qualificante nel caso in cui il Titolare operi in ambiti che presentano delle peculiarità (settore, tipo di dati trattati e/o loro quantità).
Si ricorda peraltro che le certificazioni del sistema di gestione a fronte delle UNI EN ISO 9001, ISO/IEC 27001 e ISO/IEC 27701, non soddisfano quanto richiesto dall’Art. 42 del GDPR: “Certificazioni”.
Elementi di qualifica che può ottenere il Titolare in modo diretto
- raccolta di informazioni tramite questionari compilati dal potenziale fornitore (riguardanti anche le capacità tecnologiche e l’eventuale ricorso a sub-fornitori);
- documentazione a supporto della capacità, da parte del fornitore, di dare riscontro alle misure tecniche ed organizzative richieste dal Titolare del trattamento, come ad esempio esiti di test condotti da terze parti indipendenti;
- competenze specifiche e documentate del personale che verrebbe autorizzato ad operare sui dati del Titolare e, più in generale, competenze delle funzioni di staff (es. Privacy Officer) o di quelle di controllo (DPO);
- raccolta di informazioni tramite analisi di procedure (es. data breach) o altri documenti che il potenziale fornitore può rendere disponibili;
- raccolta di informazioni sulla capacità del fornitore di rispettare i KPI che il Titolare ha necessità di monitorare (es. tempi massimi di evasione di una richiesta di informazioni);
- risultanze della attività di audit di 2^ parte sia sul sistema di gestione che sulla conformità legislativa, risultanze sulla base delle quali trarre conclusioni sulla capacità del potenziale fornitore di soddisfare le esigenze del Titolare;
- risultanze di uno o più incontri conoscitivi del Titolare del trattamento o suo delegato con il Referente privacy del fornitore e/o altre funzioni aziendali e/o del DPO, anche se, per quest’ultima figura, si tratterebbe di un’attività che non rientra in modo stretto tra i compiti affidati al Responsabile della protezione dei dati personali.
Elementi di qualifica che può ottenere il Titolare in modo indiretto
- ricerca, su siti ed altre fonti specializzate, compreso i siti del Garante Privacy e quello dello stesso fornitore, per scorgere eventuali situazioni critiche in cui il potenziale fornitore possa essersi trovato, come ad esempio casi di data breach ed altre violazioni, provvedimenti a suo carico, ecc.;
- la presenza di un Ufficio Privacy, di un DPO e di uno staff a supporto.
Analoghe considerazioni possono essere effettuate, con i dovuti distinguo, nei seguenti casi:
- se la valutazione riguarda un potenziale Sub-Responsabile; in questo caso la qualifica è effettuata dal Responsabile e deve basarsi anche sui criteri posti dal Titolare del trattamento;
- individuazione e la scelta dei Contitolari.
Conclusione - Per quanto, di volta in volta possono essere considerati ed utilizzati strumenti diversi per la valutazione dei potenziali fornitori che dovranno assumere il ruolo di Responsabile del trattamento, sono disponibili soluzioni varie per poter valutare, in anticipo, la loro capacità di poter soddisfare, una volta sottoscritto il contratto, le esigenze del Titolare. Fondamentale è scegliere quelli idonei sulla base del contesto e della reale possibilità del Titolare di poter incidere sulle politiche del fornitore che, in molti casi, si trova in posizione dominante.