Nel Parere vengono rafforzati alcuni concetti già noti nella gestione della catena dei fornitori, quali ad esempio l’accountability, la due diligence e il risk assessment, fornendo utili indicazioni agli enti che stanno affrontando attività di adeguamento a NIS 2, DORA e AI ACT.
Innanzitutto, l’EDPB sostiene che, in ogni momento e indipendentemente dal rischio connesso all’attività di trattamento, il Titolare dovrebbe essere in grado di identificare tutti coloro che fanno parte della catena dei propri fornitori. Affinché ciò avvenga è necessario che il Responsabile fornisca al Titolare, proattivamente e tempestivamente, tutte le informazioni sulla propria identità (nome, indirizzo, contatto di una persona fisica e relativa posizione lavorativa), e su quella degli eventuali Sub-Responsabili, per i quali dovrà fornire specifiche anche sulle modalità con cui verrà svolta da essi l’attività di trattamento. Invero, queste informazioni agevolano il Titolare in diversi adempimenti, quali, a esempio, informare l’interessato in merito a coloro che accedono ai suoi dati, tenere e aggiornare il registro dei trattamenti, fornire riscontro in caso di esercizio di diritto di accesso dall’interessato e gestire adeguatamente data breach.
Inoltre, l’EDPB ricorda che il Titolare dovrebbe ricorrere unicamente a Responsabili che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate affinché sia rispettato il GDPR e sia garantita la tutela dei diritti degli interessati, e che dovrebbe essere in grado di dimostrare di aver adeguatamente valutato detti Responsabili e Sub-responsabili, nonché di aver prestato la dovuta diligenza nella loro selezione e supervisione, anche quando la catena dei fornitori è lunga e complessa.
A tal fine, il Titolare potrebbe chiedere al Responsabile anche di ricevere documentazione inerente l’oggetto del trattamento incaricato oppure potrebbe sottoporre il Responsabile a periodici audit o questionari per raccoglie ulteriori informazioni e certificazioni utili alla verifica delle garanzie offerte, anche con riguardo ai Sub-responsabili prima di autorizzare il Responsabile a farne ricorso.
L’EDPB evidenzia altresì che il Titolare è soggetto agli obblighi previsti dal GDPR anche nel caso in cui il trasferimento di dati sia posto in essere da un Responsabile. Infatti, poiché l’iniziale o successivo trasferimento di dati verso un paese terzo lungo la filiera del trattamento può aumentare i rischi derivanti dal trattamento, l’EDPB sottolinea che è importante che il Titolare sia in grado di documentare che sia stata fatta una valutazione in merito alla base giuridica del trasferimento e al rischio a esso connesso, alla mappatura del trasferimento dei dati personali e all’adeguatezza delle misure di scurezza applicate al trattamento, nonché ove applicabile che sia stato svolto un transfer impact assessment e siano state adottate eventualmente misure supplementari, ciò anche sulla base del supporto documentale e informativo di Responsabile e Sub-responsabile esportatori.
Infine, in merito all’obbligo in capo al Responsabile di trattare i dati personali esclusivamente su istruzioni documentate del Titolare, l’EDPB si espone suggendo l’impiego nel contratto tra Titolare e Responsabile di espressioni (sia testualmente che in termini simili) quali “salvo che il trattamento sia richiesto dal diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento” e “a meno che non sia richiesto dalla legge o da un ordine vincolante di un ente governativo”, precisando esse non esonerano il Responsabile dal rispetto dei suoi obblighi ai sensi del GDPR e non sono da intendersi come istruzione scritta del Titolare al Responsabile.
Altri articoli
Scopri altre novità sulla protezione dati e GDPR.
22 Gennaio 2025
Corte di Giustizia UE: sia il Garante Privacy che il giudice devono disapplicare il CCNL se in violazione del Gdpr
Anche il contratto collettivo di lavoro è una fonte della disciplina della privacy e deve garantire anche la trasparenza del trattamento e sul trasferimento dei dati personali