Art. 32 del Gdpr: sicurezza da considerare a 360 gradi con i responsabili del trattamento
A oltre due anni dall'operatività del Gdpr, la sua applicazione si sta consolidando in ogni processo aziendale. Sarà un caso, ma a seguito del lock down causato dal coronavirus, tante entità hanno trovato il tempo per affrontare questa tematica vista ancora come una lunga serie di documenti da redigere e di adempimenti opprimenti e per farlo molto spesso si sono affidate a un consulente che aveva la stessa opinione e che con molta diligenza ha predisposto con cura e attenzione tutta la documentazione prevista, senza fare errori, con un lavoro attento e finalizzato a far riposare tranquillamente il suo cliente.
Nel dare corso al suo incarico la figura del consulente ha pensato bene di non disturbare le varie risorse aziendali, di non coinvolgere i fornitori e di preparare il raccoglitore che poi il titolare al trattamento dovrà conservare nel suo archivio con grande soddisfazione perché anche questo balzello giuridico e pratico è stato superato con successo e la azienda può riprendere la sua normale attività.
A insaputa del titolare del trattamento, qualcosa però potrebbe andare storto e così presentarsi un Data Breach da gestire. Oggi però non ci soffermeremo sulla gestione di un incidente ma sulla necessità che il titolare al trattamento sia parte integrante del processo di adeguamento e che si renda protagonista di una supervisione necessaria. E’ risultato infatti che in fase di verifica da parte degli organi preposti, siano state acquisite informazioni sulla corretta applicazione dell’Art 32 del Gdpr con particolare attenzione ai fornitori che trattano dati personali.
Data per scontata la nomina a responsabile al trattamento, data non sempre per scontata la presenza di un contratto che regola il rapporto tra le parti, si è invece data sempre per scontata la professionalità del fornitore esterno.
In fase di controllo il titolare si è sentito chiedere: Come avete verificato che il vostro consulente del lavoro tratti i dati secondo Gdpr? Come avete verificato che effettivamente il provider da Voi indicato trattando dati personali abbia adottato adeguate misure di protezione degli stessi? Sapete se il vostro fornitore di servizi cloud ha aderito a un sistema di certificazione? Come avete dato evidenza al fatto che effettivamente la form premendo il tasto “invia richiesta” tratti i dati personali come indicato? Il backup in cloud che utilizzate e realizzato in ottimo rapporto qualità prezzo dal vostro fornitore apposta per voi che non usa soluzioni brandizzate dove localizza i backup? Il telelavoro che usate pubblicando il vostro computer on line secondo voi è sicuro? Avete mai provato a porvi la domanda quanti giorni posso stare senza sistema informativo funzionante?
Se il titolare è in grado di dare risposte esaustive e veloci allora è sicuro di aver avuto un buon team che ha curato il cammino di adeguamento, diversamente se la ultima domanda fosse come avete selezionato il consulente privacy allora, forse, sarebbe stato il caso di applicare il principio di accountability all’inizio del cammino di messa a norma. Si devono ricercare fornitori che supportino aziende della stessa dimensione, che siano referenziabili, che siano produttivi nello stesso periodo. Che progettino, attuino, verifichino e migliorino di continuo ogni servizio che viene somministrato.
Ai tempi della 196/2003 si parlava di criterio del buon padre di famiglia adesso si chiama accountability e va applicato sia prima di firmare il contratto che anche dopo.