Per garantire che siano rispettate le norme del Regolamento UE 679/2016 in relazione ai trattamenti che i responsabili debbano eseguire per conto del titolare, il Legislatore Europeo ha previsto, tra l’altro, che l’esecuzione dei compiti del responsabile venga disciplinata da un atto con valenza giuridica, nomina quindi non più meramente facoltativa ma obbligatoria in forza di un contratto o altro atto giuridico vincolante.
Il Gdpr mette le imprese con le spalle al muro: il fornitore non può difendersi dicendo di essersi limitato a eseguire le istruzioni del committente; il committente non può salvarsi dicendo di essersi affidato a un fornitore esperto.
Nei contratti di fornitura di servizi obbligatorio dilungarsi sugli aspetti riguardanti la privacy. Bisogna spiegare, dettagliatamente e analiticamente, quali sono gli obblighi assunti dal committente e quelli a carico del fornitore: sia a riguardo del trattamento delle informazioni, sia dei requisiti di sicurezza da rispettare. Il regolamento Ue sulla privacy 2016/679 (Gdpr) ha scompigliato i contratti di fornitura di servizi: ogni possibile inadempimento contrattuale rischia di essere un inadempimento privacy (con l'applicazione di sanzioni amministrative) e, viceversa, ogni inadempimento privacy rischia di diventare un inadempimento contrattuale (con possibilità di risoluzione del contratto e pagamento dei danni). L'eccellente scrittura dei contratti è, dunque, la tecnica da usare per diminuire il rischio di sanzioni amministrative o di contenziosi civili.
La tutela del dato personale in azienda ha assunto negli ultimi anni, soprattutto con l’entrata in vigore del regolamento (Ue) 2016/679 (Gdpr), un’importanza sempre più cruciale nel rapporto tra azienda-cliente e fornitore/partner commerciale. Ciò rileva in particolar modo nella stesura del contratto/accordo in materia di protezione dei dati personali che dovrà essere redatto alla luce del contratto per la fornitura di beni e/o servizi da cui trae origine.
I Responsabili del trattamento devono essere oggetto non solo di una valutazione iniziale, come richiede l’articolo l’art. 28 par. 1) del GDPR ma anche di una valutazione delle loro performance e qualifiche nel corso del tempo; questo articolo tratta delle modalità attraverso le quali il Titolare del trattamento può effettuare quest’ultimo tipo di valutazione.
Quando si tratta il tema dei fornitori che devono essere inquadrati come “Responsabili del trattamento” si analizzano le problematiche relative alla documentazione contrattuale; più raramente si affrontano i criteri di prequalifica (valutazione inziale prima dell’avvio del rapporto contrattuale) e di qualifica nel tempo (valutazione dinamica). Il presente articolo tratta i criteri necessari per valutare un potenziale Responsabile, prima di affidargli uno o più trattamenti, ponendo l’accento sugli aspetti afferenti alla protezione dei dati personali.
Clausole privacy standard a tinte Ue per il contratto di outsourcing. Ogni volta che un'impresa o una pubblica amministrazione o un professionista si avvalgono di un fornitore esterno bisogna firmare un contratto (o atto simile). Il fornitore esterno, con le parole del Regolamento Ue sulla privacy n. 2016/679 (Rgpd), si chiama «responsabile esterno del trattamento» e si applica l'articolo 28 del Rgpd.
Cloud computing è espressione che corrisponde ad un fenomeno esteso, un universo da anni in costante crescita e che investe ormai ogni ambito o settore di attività: una varietà di tecnologie e di tipologie di servizio imperniate sull’uso/fornitura di applicazioni informatiche, sulla capacità di gestione, elaborazione, condivisione e conservazione di dati in un contesto immateriale, altro rispetto a strumenti e infrastrutture di tipo tradizionale.In questo articolo si prendono in esame 10 domande e 10 rispettive rispettive risposte da porsi prima di scegliere un cloud provider.
I responsabili del trattamento devono essere adeguatamente selezionati, per fornire sufficienti garanzie circa il loro operato. Le garanzie devono essere, per quanto possibile, oggetto di verifica, considerando anche i rapporti di forza tra Titolare e Responsabile. L’audit è uno degli strumenti possibili per avere tale evidenza. Inoltre, ai Responsabili possono essere richiesti, da parte del Titolare, documenti afferenti le attività di quest’ultimo. Alla regolamentazione di questi temi, all’interno dei documenti che disciplinano il rapporto tra Titolare e Responsabile è dedicato l’articolo.
L'azienda è un crocevia di dati personali e ogni flusso necessita della sua giustificazione privacy. Ogni spostamento di dati impone una definizione dei ruoli «privacy» di mittente e destinatari. Il destinatario dei dati può essere un fornitore (e allora sarà un responsabile esterno) oppure un dipendente (da qualificare come autorizzato) oppure potrebbe essere un soggetto esterno che persegue obiettivi propri (con il ruolo di titolare del trattamento). Ogni opzione ha un adempimento documentale, come il contratto con il responsabile esterno o la designazione dell'autorizzato al trattamento.
