1. PROCESSO DI NOMINA DI UN RESPONSABILE ESTERNO
Il Titolare del Trattamento deve ricorrere unicamente a Responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti previsti dal GDPR per la protezione dei dati personali, anche per la sicurezza del trattamento.
Tali soggetti sono chiamati, a propria volta, a rispettare precisi obblighi in relazione alla gestione delle persone dagli stessi autorizzate al trattamento e a garantire che queste ultime si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
1.1 Determinazione dei requisiti tecnologici del trattamento
Su tali basi il proponente di una nuova iniziativa, in base all'analisi dei fabbisogni e considerando gli output attesi, provvede all’individuazione dei requisiti tecnici del servizio che deve essere affidato all’esterno. I requisiti tecnici sono sempre fissati durante la fase di definizione di un nuovo progetto (change/demand).
1.2 Identificazione del fornitore
L’identificazione del Responsabile esterno del trattamento (fornitore o consulente) deve avvenire, mediante l’esecuzione di una procedura di selezione che si articola nelle seguenti fasi:
- Indagine di mercato per la composizione del paniere dei potenziali fornitori o consulenti;
- Valutazione delle competenze e delle eventuali certificazioni e selezione del fornitore;
- Verifica dell’eventuale destinazione dei dati oggetto di trattamento fuori dal territorio UE;
Il proponente procede ad un’indagine di mercato per trovare la soluzione tecnologica, di fornitura, o consulenziale, in grado di soddisfare le esigenze richieste. Per effettuare il processo di valutazione, il proponente produce sia la scheda che definisce i requisiti tecnologici del servizio che viene affidato all’esterno, sia un questionario di valutazione dello stato delle misure di sicurezza in possesso del fornitore. Conclusa l’indagine di mercato, il proponente definisce un paniere di fornitori o consulenti in possesso dei requisiti richiesti.
Il proponente, consultandosi eventualmente con l’Ufficio Data Protection quando nominato, provvede, quindi, a esaminare la documentazione raccolta (scheda requisiti tecnologici e checklist valutazione del fornitori) e valuta se il fornitore possiede garanzie sufficienti, in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti normativi e per garantire la sicurezza del trattamento.
Conclusa la fase di valutazione, la Direzione provvede, con il supporto del proponente, ad individuare il fornitore a cui verrà affidato il trattamento dei dati.
Esaminati i requisiti tecnologici e le caratteristiche del fornitore, o del consulente, il proponente verifica se i dati oggetto di trattamento saranno destinati a organizzazioni con sede fuori dal territorio UE, o destinati ad organizzazioni con sedi comunitarie ma che utilizzano piattaforme di hosting extra UE;
Le fasi di analisi sopra descritte sono opportunamente documentate. Tale documentazione è messa a punto sotto il coordinamento della struttura proponente, eventualmente con l‘assistenza del DPO e si basa sull’apporto tecnico delle funzioni specialistiche di volta in volta coinvolte, tenuto conto dei pareri delle funzioni di controllo di II livello, per verificare in particolare l’adeguatezza delle clausole contrattuali rispetto alla normativa e al presidio dei rischi identificati, nonché per consentire l’eventuale confronto fra più proposte.
1.3 Redazione e sottoscrizione di un adeguato contratto
L'esecuzione dei trattamenti da parte di un Responsabile deve essere disciplinato da un contratto, o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri (nomina formale del Responsabile), che vincoli il Responsabile del trattamento al Titolare del Trattamento, ed in cui siano definiti l’oggetto e la durata del trattamento, le relative finalità, il tipo di dati personali processati e le categorie di interessati, tenendo conto dei compiti e degli oneri specifici del Responsabile nel contesto del trattamento da eseguire, e del rischio in relazione ai diritti e alle libertà dell'interessato. Tale disposizione si applica sia nel caso la Titolare del Trattamento sia Titolare del trattamento, sia nel caso che la Titolare del Trattamento sia Responsabile del trattamento.
Consolidato il testo del contratto e dell’atto di nomina, il CdA, o altro organo eventualmente preposto, sottoscrive i documenti da sottoporre alla firma del fornitore o del consulente, il quale, a sua volta, firma il contratto e l’atto di nomina a Responsabile del trattamento, che comprende anche il protocollo d’intesa in cui vengono fissati i termini privacy dell’accordo.
1.4 Nomina e ruolo del referente interno del servizio affidato a soggetto esterno
Per ciascun servizio che implica un trattamento dei dati da parte di un soggetto esterno all’azienda, deve essere individuato un referente interno con adeguate competenze tecniche e gestionali che lo pongano in grado di svolgere correntemente un’azione di controllo sull’attività che viene affidata all’esterno e di supportare tempo per tempo i vertici aziendali nelle fasi di impostazione e nella valutazione dell’apporto del fornitore (anche al fine di sostenere l’eventuale processo valutativo in merito alla re-internalizzazione o all’affidamento del servizio a un altro fornitore).
1.5 Aggiornamento del Registro dei trattamenti
A seguito dell’adesione ad un servizio che comporta il trattamento di dati personali da parte di un soggetto esterno all’azienda, il Proponente, o la Funzione Deputata, aggiorna il Registro dei trattamenti, inserendo il nuovo Responsabile all’interno del registro ed eventualmente, se non già presente, il nuovo trattamento.
1.6 Revoca della nomina del precedente Responsabile e connessa gestione dei dati
Contestualmente alla nomina di un nuovo Responsabile, il proponente provvede a comunicare la revoca dell’incarico all’eventuale precedente Responsabile incaricato dei medesimi trattamenti.
Al termine di un contratto con un fornitore o con un consulente, è altresì necessario procedere alla richiesta di restituzione, o di distruzione, dei dati, avendo cura di tracciare le fasi di svolgimento di queste operazioni.
È opportuno che in sede contrattuale, sin dall’atto di nomina, la Titolare del Trattamento si riservi la facoltà di eseguire, alla cessazione del rapporto, controlli presso il Responsabile destituito delle sue funzioni, al fine di verificare l’effettiva cancellazione o distruzione dei dati.
