Oltre il self-assessment: come rafforzare la mappatura dei fornitori tra filiera, audit e responsabilità del titolare del trattamento
Nel contesto normativo e operativo della protezione dei dati, la mappatura dei fornitori rappresenta un’attività tanto centrale quanto sfidante, soprattutto per le organizzazioni complesse.
L’identificazione e la valutazione dei soggetti esterni coinvolti nei trattamenti (o, più in generale, nei processi critici aziendali) è diventata una vera e propria leva di accountability organizzativa, come evidenziato anche in occasione del Privacy Day Forum 2025 nell’efficace intervento di Felice Amelia.
Non si tratta più solo di ‘censire i responsabili del trattamento’, ma di costruire un sistema di relazioni documentate, consapevoli e sostenibili, in cui la filiera esterna sia sotto controllo, anche in termini di rischi privacy e sicurezza informatica.
Una mappatura efficace, tuttavia, richiede di superare un modello centralizzato: soprattutto nelle grandi strutture, è necessario decentrare il presidio verso i dipartimenti e gli uffici che concretamente ingaggiano i fornitori, rendendoli partecipi nella valutazione iniziale e nel monitoraggio.
Questa decentralizzazione, lungi dal costituire una dispersione, favorisce la responsabilizzazione delle funzioni operative, che diventano protagoniste nell'applicazione di uno standard comune. Il punto chiave è la condivisione di strumenti chiari ed uniformi, come checklist di autovalutazione privacy e cybersecurity, pensate per essere semplici ma efficaci.
Tali ‘self-assessment’ sono però solo una parte del quadro: per verificare l’affidabilità e la veridicità delle attestazioni, è indispensabile introdurre attività di audit periodici, anche a campione, specialmente per i fornitori più critici o strategici.
Diversi provvedimenti e contributi delle Autorità Privacy a livello internazionale, come quelli dell’Information Commissioner’s Office (ICO) nel Regno Unito o della CNIL in Francia, sottolineano l'importanza di verifiche concrete, anche attraverso ispezioni o richieste documentali, in aggiunta agli obblighi contrattuali. Ad esempio, l'ICO ha sviluppato un proprio framework per gli audit privacy e cybersecurity, consigliando verifiche anche presso i fornitori IT, e mettendo a disposizione a questo scopo anche un apposito tool. La CNIL ha pubblicato un vademecum per chi desidera investire su processi di audit certificabili.
Tali processi di valutazione dovrebbero estendersi non solo ai fornitori che trattano dati personali (i.e. responsabili del trattamento ai sensi dell’art. 28 GDPR) ma anche a quei fornitori ‘strategici’ che, pur non trattando dati personali, rivestono un ruolo critico nei processi aziendali (si pensi a servizi logistici, infrastrutturali o digitali core).
L’adozione di un repository centralizzato, accessibile alle funzioni coinvolte e al DPO, può agevolare una governance coordinata e tracciabile, anche in ottica ispettiva.
Tuttavia, la realtà operativa evidenzia una serie di ostacoli che non possiamo non tenere in conto. La sottoposizione e compilazione delle checklist è spesso percepita come onerosa, tanto da suscitare resistenze da parte dei fornitori. Alcuni di questi (si pensi ad esempio alle grandi piattaforme tecnologiche) rifiutano qualsiasi modulistica personalizzata, imponendo i propri standard e policy ‘globali’, talvolta non pienamente compatibili con le esigenze del titolare. Dall’altro lato, anche le microimprese o i fornitori ‘artigianali’ manifestano diffidenza o scarsa familiarità con questi strumenti, rendendo difficile l’allineamento a prassi conformi.
Questi limiti non esonerano però il titolare dal proprio dovere di controllo. Lo ha chiarito in modo esplicito il Garante per la protezione dei dati personali anche nel provvedimento del 4 giugno 2025 nei confronti della società “Noi Compriamo Auto”: la mancata verifica effettiva del comportamento dei fornitori ha comportato una sanzione significativa, confermando che la responsabilità del titolare si estende all’intera filiera, anche in caso di delega contrattuale.
È dunque evidente la necessità di rafforzare le prassi di due diligence attraverso strumenti operativi aggiornati e pratiche collaborative tra DPO, legali, procurement e IT, attraverso un approccio integrato e un controllo effettivo, consistente nella capacità di valutare nel tempo l’affidabilità del fornitore, non solo al momento della selezione.
In questo scenario, le valutazioni privacy non possono restare isolate, ma devono innestarsi in percorsi più ampi di due diligence, audit e gestione del rischio, evolvendosi verso modelli agili, capaci di adattarsi ai diversi contesti, pur garantendo principi comuni e misurabili.
A supporto di una mappatura efficace, è consigliabile che l’organizzazione adotti una procedura strutturata per la gestione delle terze parti, in grado di guidare in modo sistematico la selezione e il monitoraggio dei fornitori, integrando dimensioni giuridiche, organizzative e tecniche in un approccio coerente e documentabile.
Coltivare una rete di fornitori affidabili significa infatti andare oltre la logica della mera compliance, e promuovere una cultura della trasparenza e della corresponsabilità, per trasformare la mappatura da adempimento a strumento di governance consapevole, al servizio della protezione del dato (personale e/o strategico) e, più in generale, della solidità dell’impresa.
