Nelle aziende la gestione dei fornitori è sempre problematica: la selezione del fornitore “giusto”, ma anche la sottoscrizione dei contratti sono attività ricche di insidie e problemi da risolvere. Quando, poi, il fornitore è anche un fornitore che “tratta dati in nome e per conto” del titolare gli aspetti da attenzionare aumentano.
Purtroppo, poi il controllo del rispetto del GDPR è reso complicato nelle catene di fornitori. Sono sempre meno, infatti, i servizi che possono essere effettivamente svolti da fornitori “solitari” senza che si avvalgano di terze parti, altri soggetti ai quali viene demandato lo svolgimento di fasi dell’attività o il supporto sulle stesse. Quindi, come gestire il trattamento dati nella Supply Chain?
L’European Data Protection Board ha recentemente ha pubblicato un interessante documento sul tema, fornendoci l’opportunità di fare qualche ragionamento sugli elementi critici e fornire qualche suggerimento pratico.
Il problema della catena di fornitori
Quando il fornitore di un servizio utilizza una vera e propria catena di fornitori di beni o servizi, a volte già precostituita, spesso l’accettazione da parte del cliente di tutta la filiera è praticamente obbligata. Si tratta di un “prendere o rifiutare”.
Tuttavia, il Cliente, in quanto titolare del trattamento deve interessarsi del rispetto del GDPR di tutti i fornitori utilizzati.
Quindi, i rapporti tra cliente e l’intera catena di fornitura dovranno essere regolati non solo sotto il profilo puramente contrattuale ma anche sotto quello delle responsabilità del trattamento di dati, alla luce delle disposizioni dell’articolo 28 del Regolamento UE 2016/679.
Sul modello di nomina, ovvero Data Protection Agreement (di seguito anche solo DPA) la Commissione europea ha fornitori già in passato un modello per la regolamentazione dei rapporti Titolare – Responsabile, che costituisce un ottimo punto di partenza per la redazione del documento.
[Vedi anche: Gestione dei fornitori che trattano dati: ultimi aggiornamenti dalla Commissione europea]
Individuare i Sub-fornitori
All’interno della nomina un elemento fondamentale è individuare i soggetti della catena di fornitore.
Si ricorda, infatti, che il Titolare deve autorizzare il Fornitore/Responsabile all’uso di sub-fornitori, per tale ragione normalmente, questi vengono inseriti nella DPA. Il vero problema che riscontriamo però è quando nel corso della fornitura il sub-fornitore cambia. Il nuovo fornitore deve essere comunicato al titolare che deve poter esercitare, almeno sulla carta, il proprio diritto di opposizione, oppure individuare un sistema automatico per l’aggiornamento del titolare.
Secondo l’EDPB, i responsabili del trattamento devono fornire i dettagli di ogni sub-responsabile utilizzato al titolare del trattamento finale, insieme alle informazioni associate sul trattamento.
Elencare i sub-responsabili: fino a che punto?
Normalmente, quindi, il responsabile fornisce un elenco di sub-responsabili approvati nel Data Protection Agreement, spesso reso disponibile on line sulle pagine web dei fornitori, nell’elenco dovrebbero inoltre essere indicati i sub-sub fornitori utilizzati.
Ma fino a quando è obbligatorio dettagliare la catena di fornitori?
Come prevedibile, EDPB afferma che l’intera catena dovrebbe essere inclusa nell’elenco, compresa di nome, indirizzo, persona di contatto e descrizione del trattamento per tutti i sub fornitori utilizzati.
L’EDPB ricorda anche quanto precisato nella decisione della Corte di giustizia europea in RW contro Österreichische Post AG, in cui si è sottolineato che le richieste di accesso ai dati personali implicano che il titolare del trattamento debba fornire al soggetto interessato i dettagli sull’effettiva identità dei destinatari dei dati del soggetto interessato.
Per assolvere a questo obbligo il titolare del trattamento deve essere in grado di recuperare, quindi conoscere, i dettagli dell’intera catena di sub-responsabili in modo che possano essere forniti ai soggetti interessati. Conoscere i destinatari dei dati è fondamentale per consentire agli interessati di esercitare specifiche richieste di cancellazione e rettifica.
A tal fine, il responsabile del trattamento dovrebbe fornire in modo “proattivo” al titolare del trattamento tutte le informazioni sull’identità di tutti i responsabili del trattamento, sub-responsabili ecc. che elaborano per conto del titolare del trattamento e dovrebbe mantenere sempre aggiornate tali informazioni relative a tutti i sub-responsabili coinvolti. Il titolare del trattamento e il responsabile del trattamento possono includere nel contratto ulteriori dettagli su come e in quale formato il responsabile del trattamento deve fornire tali informazioni, in quanto il titolare del trattamento potrebbe voler richiedere un formato specifico in modo che sia più facile per il titolare del trattamento recuperarle e organizzarle.
Nella pratica non è facile trovare un sistema proattivo. Probabilmente una soluzione potrebbe essere solo tramite portali online dove le informazioni possono essere generate in modo automatizzato e sempre aggiornato. Una soluzione nei fatti già praticata dalle grandi piattaforme, meno semplice per aziende medio – piccole.
Due diligence del sub-responsabile: cosa devono fare i titolari del trattamento?
L’articolo 28(1) GDPR stabilisce che un titolare del trattamento può utilizzare solo responsabili del trattamento che forniscano “garanzie sufficienti” che il loro trattamento sarà conforme al GDPR e proteggerà i diritti individuali. Tra i quesiti posti da Datatilsynet all’EDPB ha posto una serie di domande sulla misura in cui le disposizioni del GDPR implicano che il titolare del trattamento debba verificare le garanzie e la conformità rispetto ai sub-responsabili del trattamento.
In primo luogo, il Comitato europeo per la protezione dei dati ha ribadito che il titolare del trattamento è tenuto a verificare le garanzie di conformità offerte dal responsabile principale del trattamento, suggerendo che ciò potrebbe avvenire tramite una combinazione di questionari, documenti pubblici, certificazioni e relazioni di audit, oppure tramite la revisione di documenti.
Resta il problema dei sub fornitori, che non possono essere esclusi dal controllo, ma di cui inevitabilmente deve occuparsi il Responsabile. Inoltre, per l’EDPB l’obbligo di verificare se ci sono garanzie sufficienti si applica sempre, indipendentemente dal rischio del trattamento dati o dei sub-responsabili.L’unico modo, per il titolare per assolvere all’obbligo di controllo, è fare affidamento sulla due diligence svolta dal fornitore di servizi principale.
L’EDPB, quindi, ha riconosciuto il ruolo e la responsabilità dei fornitori di servizi principali, ma ha anche sottolineato che, indipendentemente da ciò, il titolare del trattamento ha la responsabilità finale.
Trasferimento Extra UE
La verifica del rispetto della normativa sul trasferimento dati Extra UE è il punto di maggiore criticità nella gestione della Supply Chain.
La posizione dell’EDPB riprende e ribadisce le proprie precedenti linee guida in tema di trasferimenti dati extra UE, ma precisando quali compiti e responsabilità si applicano nella catena dei fornitori.
[Vedi anche: Ancora braccio di ferro sui dati UE/USA: quale futuro per i servizi Meta e Google?]
Il titolare, infatti, deve considerare i rischi di trasferimenti che si verificano lungo tutta la Supply Chain, anche se il trasferimento effettivo viene effettuato dal responsabile del trattamento a un sub-responsabile e non dal titolare stesso. Ne comporta l’obbligo di realizzare una sorta di mappatura dei trattamenti dati compresa la valutazione dell’impatto del trasferimento e di eventuali misure supplementari in atto.
Tuttavia, nonostante l’EDPB abbia sottolineato la responsabilità dei titolari sulla filiera, ha accettato che il responsabile del trattamento abbia un ruolo centrale in questo caso. In pratica, qualora l’esportazione del dato avvenga da parte di un sub-responsabile, sarà il responsabile a doversi fare garante del rispetto dei requisiti del GDPR compresa la valutazione di impatto per il trasferimento. Anche per questa problematica i responsabili del trattamento più grandi hanno già materiali in linea con quanto suggerito dall’EDPB da mettere a disposizione alla filiera, mentre i fornitori medio-piccoli avranno maggiori difficoltà.
Naturalmente il problema non si pone per i paesi per i quali è presente una Decisione di adeguatezza.
Conclusioni
Se da una parte è innegabile che la responsabilità ultima sul corretto trattamento dati resta in capo ai titolari del trattamento, dall’altra parte il ruolo dei fornitori resta essenziale. Il Responsabile non può disinteressarsi del rispetto dei principi del GDPR (come gli adempimenti per il trasferimento extra UE o due diligence sui sub-responsabili) per i trattamenti delegati dal Titolare del trattamento.
Possiamo quindi dire che in questo documento si rinnova e ribadisce l’importante ruolo dei responsabili del trattamento nella gestione dei dati. D’altra parte gli stessi provvedimenti del Garante sono sempre stati in linea con una concezione del Responsabile come protagonista attivo a fianco del titolare per la corretta applicazione dei principi del GDPR non risparmiando sanzioni e provvedimenti di ammonimenti per i fornitori indisciplinati.