Il General Data Protection Regulation (Reg. UE 679/2016) è divenuto definitivamente applicabile dallo scorso 25/5/2018; se a tutti è chiaro, o dovrebbe ormai esserlo, che il GDPR obbliga le organizzazioni a ripensare il proprio sistema di gestione dei dati, ciò che appare meno evidente è la necessità di passare al setaccio e vagliare tutti i contratti in essere con i propri fornitori.
Ogni qualvolta il rapporto con il fornitore implica un trattamento di dati, il contratto andrà verificato e aggiornato secondo le indicazioni del Reg. 679/2016.
Il GDPR stabilisce infatti contenuti puntuali che devono contraddistinguere e regolare i rapporti contrattuali tra il Titolare del dato e il soggetto esterno, data processor, incaricato della gestione dei dati, sia esso un fornitore tradizionale o un cloud service provider.
D’ora innanzi dunque nella negoziazione di questa tipologia di contratti occorrerà tenere conto anche delle indicazioni del GDPR.
Vediamo allora in breve cosa prevede il Reg. UE 679/2016.
L’art. 28 stabilisce che l’accordo vincolante per il responsabile esterno debba prevedere:
- L’obbligo di trattare i dati solo in conformità alle istruzioni ricevute dal Titolare;
- L’obbligo di garantire che le persone fisiche incaricate del trattamento siano state adeguatamente formate e istruite;
- L’obbligo di garantire di avere adottato tutte le misure organizzative e tecniche idonee ad assicurare un livello di sicurezza del trattamento adeguato al grado di rischio;
- In caso di subappalto, che deve essere sempre autorizzato, il responsabile garantisce che il proprio sub fornitore rispetti a sua volta gli obblighi di cui all’art. 28, rimanendo in ogni caso responsabile nei confronti del Titolare in caso di violazione o inadempimento;
- L’obbligo di assistere il Titolare nell’ipotesi di esercizio dei diritti da parte degli Interessati, nei casi di data breaches o qualora sia necessario effettuare una valutazione di impatto;
- L’obbligo di permettere attività di audit o di vigilanza da parte del Titolare e mettere a sua disposizione tutte le informazioni necessarie.
Il Titolare del trattamento pertanto oltre ad attivarsi per la redazione o l’aggiornamento dei contratti, dovrà scegliere oculatamente i propri fornitori e peritarsi di dare ad essi istruzioni dettagliate sulle modalità di trattamento dei propri dati.