Più volte abbiamo posto in evidenza l’importanza di una corretta gestione della catena aziendale interna della data protection, sia a fini di sicurezza ma anche, se non principalmente, per una compiuta ottemperanza al dettato del GDPR.
Sanzioni: il caso Regione Lazio
Recenti vicende, concluse anche con interventi sanzionatori del Garante, impone alle aziende di valutare anche quella che è la catena esterna nella gestione dei dati, vale a dire la supply chain che si viene a creare sia quando per la tipologia dei rapporti i dati debbano essere trattati da soggetto diverso dal Titolare, sia nelle frequentissime ipotesi di outsourcing di alcune attività.
Facciamo riferimento, in particolare, alla recente sanzione emessa dal garante nei confronti della regione Lazio che si è ripercossa, a cascata, su LazioCrea e sulla ASL Roma tre, ma anche ai casi di Synab e Westpole dai quali, se mai ce ne fosse stato bisogno, è emerso ancora come la violazione della sicurezza dei dati o una qualsiasi falla in uno degli anelli della catena di gestione, facilmente coinvolge l’intero sistema e tutti i suoi protagonisti ancorchè, ciascuno, per il suo ruolo e le sue responsabilità.
Un’incidente alla sicurezza di un fornitore dei servizi può innescare un effetto domino che potrebbe toccare sia i dati degli interessati, in particolare degli utenti, ma anche per tutte le aziende coinvolte.
Per saperne di più > Sanzioni alla sanità del Lazio: una lezione e un monito
In un contesto aziendale operativo, nel quale l’outsourcing è una pratica consolidata, spesso anche per la riduzione dei costi e lo snellimento dell’organizzazione, la gestione di una rete di fornitori diventa sempre più cruciale. Questo, che spesso porta alla creazione di una vera e propria rete di fornitori di beni o servizi, richiede una stretta collaborazione tra di loro ma anche un’attenta attività di coordinamento e monitoraggio per soddisfare non solo le esigenze della clientela, ma anche per regolare il flusso dei dati tra i vari operatori e predisporre la necessaria documentazione fatta di lettere di incarico e di istruzioni che il GDPR impone.
Le responsabilità del titolare del trattamento
IN particolare, nel caso in cui l’attività e l’oggetto sociale di una delle aziende coinvolte, in particolare quella che possiamo definire una “capofila” preveda il trattamento di informazioni personali, specialmente quelle sensibili, è fondamentale che i rapporti tra il cliente e l’intera catena siano regolati non solo a livello contrattuale, ma anche in conformità con le disposizioni dell’articolo 28 del GDPR, che regolamenta le responsabilità del trattamento dei dati.
Il coinvolgimento di terze parti, siano essi consulenti, fornitori ovvero utilizzati come fractional nei processi operativi, è spesso inevitabile per svolgere attività di approvvigionamento, produzione, customer care o distribuzione.
E questo dovrebbe far scattare campanelli di allarme già nella fase organizzativa in quanto solleva questioni significative in termini di sicurezza dei dati lungo l’intera catena di fornitura e di ripartizione dei compiti.
Per approfondire > La gestione della catena esterna della Data Protection
La conoscenza come strumento
I recenti Provvedimenti dell’Autorità Garante Privacy e le vicende citate hanno evidenziato le violazioni dei dati che coinvolgono non solo il titolare del trattamento, ma anche i fornitori di beni o servizi.
È quindi essenziale che il titolare del trattamento conosca alla perfezione il funzionamento della sua azienda e il ruolo degli altri operatori per stabilire con precisione le misure di sicurezza previste dall’articolo 28 del GDPR quando coinvolge altri soggetti nel trattamento dei dati personali. Questo include, tra l’altro, anche la gestione tempestiva e accurata delle violazioni che dovrebbero essere segnalate entro 72 ore.
La responsabilità del titolare del trattamento non è quindi limitata alle proprie azioni dirette, ma si estende anche alle attività svolte dai suoi fornitori di servizi. È fondamentale che tutti gli attori coinvolti dispongano di adeguate misure di sicurezza, come richiesto dall’articolo 32 del GDPR, per evitare violazioni dei dati o attacchi informatici e che tutto sia disciplinato da una catena di documenti che , a sua volta, non deve avere interruzioni.
Le conseguenze di una violazione della sicurezza dei dati, non solo a livello informatico, in uno qualsiasi dei nodi della catena possono essere devastanti e avere ripercussioni su tutti gli attori coinvolti. È essenziale che tutti i partner nella catena di fornitura implementino misure non solo di sicurezza tecnica per proteggere i dati e prevenire attacchi informatici.