I responsabili del trattamento: quali sono i fornitori da nominare? Gli esempi dell’IFPDT

La Legge Federale sulla protezione dei dati (LPD) ha introdotto, con la sua nuova formulazione, la necessità per i titolari del trattamento di valutare, in via preventiva e per tutta la durata del rapporto in essere, le terze parti (fornitori) a cui viene AFFIDATO il trattamento dei dati personali ai fini dell’esecuzione dei contratti di servizi.

È chiaro che il Titolare del trattamento conserva in capo a sé la responsabilità giuridica che i dati affidati ad un soggetto esterno siano trattati adeguatamente ossia mediante applicazione di adeguate misure di sicurezza (tecnico / organizzative).   

La domanda che piu’ di frequente viene posta agli addetti ai lavori è: chi sono le terze parti che devo designare RESPONSABILI DEL TRATTAMENTO ai sensi dell’art. 9 LPD?

L’Incaricato Federale per la protezione dei dati (IFPDT) ha dedicato, all’interno del proprio sito web, un approfondimento sul tema nella sezione “Outsourcing (affidamento del trattamento a un responsabile)” ponendo l’accento su:

  1. Aspetti essenziali su cui occorre prestare attenzione.
  2. Ruoli e responsabilità privacy.
  3. Esempi di soggetti che devono essere identificati quali responsabili del trattamento. 

Chi sono i fornitori di servizi che, in via esemplificativa, sono ricondotti al ruolo di responsabili del trattamento come anche indicato dall’IFPDT?

  • fornitori di servizi di cloud;
  • web host;
  • spedizionieri;
  • call-center;
  • fiduciarie;
  • imprese di supporto IT.

 

L’elenco non è esaustivo e possono esservi altri soggetti ricadenti in tali obblighi.  

Cosa deve fare dunque un Titolare del trattamento?

È importante precisare, come anche indicato dall’IFDPT, che proprio perché il Titolare del trattamento (ossia colui che affida in Outsourcing un trattamento a un fornitore) è il soggetto che ha l’obbligo di garantire che i dati siano trattati adeguatamente (concetto di responsabilità) in qualità di mandante deve assicurarsi che il responsabile del trattamento:

  1. rispetti attivamente la legge in misura uguale a lui;
  2. rispetti i principi generali, le regole relative alla sicurezza dei dati e le regole relative alla comunicazione all’estero.

Il titolare del trattamento deve impedire altresi’ le violazioni della legge federale sulla protezione dei dati (LPD) e, pertanto, deve:

  • scegliere con cura il responsabile del trattamento;
  • istruirlo in modo adeguato (ad esempio sulle azioni attese in caso di DATA BREACH);
  • sorvegliarlo nella misura del necessario.

Articolo a cura di Roberta De Giusti | Country Manager, Privacy Desk Suisse

Condividi:

Articoli recenti

Trova altre notizie