La Legge Federale sulla protezione dei dati (LPD) ha introdotto, con la sua nuova formulazione, la necessità per i titolari del trattamento di valutare, in via preventiva e per tutta la durata del rapporto in essere, le terze parti (fornitori) a cui viene AFFIDATO il trattamento dei dati personali ai fini dell’esecuzione dei contratti di servizi.
È chiaro che il Titolare del trattamento conserva in capo a sé la responsabilità giuridica che i dati affidati ad un soggetto esterno siano trattati adeguatamente ossia mediante applicazione di adeguate misure di sicurezza (tecnico / organizzative).
La domanda che piu’ di frequente viene posta agli addetti ai lavori è: chi sono le terze parti che devo designare RESPONSABILI DEL TRATTAMENTO ai sensi dell’art. 9 LPD?
L’Incaricato Federale per la protezione dei dati (IFPDT) ha dedicato, all’interno del proprio sito web, un approfondimento sul tema nella sezione “Outsourcing (affidamento del trattamento a un responsabile)” ponendo l’accento su:
- Aspetti essenziali su cui occorre prestare attenzione.
- Ruoli e responsabilità privacy.
- Esempi di soggetti che devono essere identificati quali responsabili del trattamento.
Chi sono i fornitori di servizi che, in via esemplificativa, sono ricondotti al ruolo di responsabili del trattamento come anche indicato dall’IFPDT?
- fornitori di servizi di cloud;
- web host;
- spedizionieri;
- call-center;
- fiduciarie;
- imprese di supporto IT.
L’elenco non è esaustivo e possono esservi altri soggetti ricadenti in tali obblighi.
Cosa deve fare dunque un Titolare del trattamento?
È importante precisare, come anche indicato dall’IFDPT, che proprio perché il Titolare del trattamento (ossia colui che affida in Outsourcing un trattamento a un fornitore) è il soggetto che ha l’obbligo di garantire che i dati siano trattati adeguatamente (concetto di responsabilità) in qualità di mandante deve assicurarsi che il responsabile del trattamento:
- rispetti attivamente la legge in misura uguale a lui;
- rispetti i principi generali, le regole relative alla sicurezza dei dati e le regole relative alla comunicazione all’estero.
Il titolare del trattamento deve impedire altresi’ le violazioni della legge federale sulla protezione dei dati (LPD) e, pertanto, deve:
- scegliere con cura il responsabile del trattamento;
- istruirlo in modo adeguato (ad esempio sulle azioni attese in caso di DATA BREACH);
- sorvegliarlo nella misura del necessario.
Articolo a cura di Roberta De Giusti | Country Manager, Privacy Desk Suisse