Gestione dei fornitori nel trattamento dati: sei consigli pratici per evitare sanzioni

Il GDPR richiede ai titolari del trattamento di avere grande attenzione circa gli obblighi di nomina nei confronti dei fornitori. Definire con precisione i limiti, i rapporti e le responsabilità tra il titolare del trattamento e i fornitori dei servizi esterni è, infatti, uno dei principali punti critici e sanzionabili del nuovo Regolamento.

In tema di sanzioni relative all’assenza di una nomina formale per il fornitore si veda la sanzione ad opera del garante polacco del 18/10/2019.

Alla luce di quanto accaduto, in questa sede si intende dare qualche consiglio pratico su come formalizzare in maniera corretta i contratti tra titolare e fornitore dei servizi esterni.

1. Scelta del fornitore

È importante concentrarsi sul fatto che i contratti di esternalizzazione siano estremamente rilevanti per i rischi che possano comportare, sia in termini di continuità operativa per i clienti, sia per il tema della sicurezza che i fornitori devono garantire.
La scelta del Responsabile esterno, infatti, è un fattore fondamentale nell’ottica del principio dell’accountability e, qualora non effettuata, o svolta in modo scorretto, potrebbe, in ipotesi di giudizio sulla responsabilità, determinare una eventuale c.d. culpa in eligendo, qualora si dovesse accertare ad opera del titolare la negligenza nell’aver scelto male l’organizzazione a cui affidare le informazioni riferite a persone fisiche.
Pertanto, sarebbe opportuno che la selezione dei fornitori avvenisse tra più offerenti, parametrando le offerte, tenendo in considerazione sia l’offerta economica, sia il servizio richiesto, sia gli indicatori di base relativi alle misure tecniche e organizzative in possesso del fornitore.

2. Oggetto del trattamento

L’identificazione dell’oggetto del trattamento correlato al servizio specifico che il titolare affiderà al fornitore e la specifica delimitazione dei confini all’interno dei quali lo stesso si potrà muovere e per i quali sarà ritenuto responsabile, risulta un punto di fondamentale rilevanza sia durante lo svolgimento della prestazione, sia nella fase di un eventuale contenzioso.
Stabilire in modo dettagliato gli ambiti dei trattamenti, sebbene in alcuni casi data la vastità dei servizi affidati possa risultare complesso, è indubbiamente un primo passo verso il principio di trasparenza del trattamento così come prescritto dal GDPR.

3. Contenuti della nomina
La formalizzazione degli obblighi e delle procedure che il fornitore dovrà attuare per adempiere a quanto prescritto nella nomina è stabilito dall’art. 28 del GDPR.
Pertanto, sarebbe opportuno formalizzare:

• una definizione condivisa di eventi ascrivibili a data breach, per i quali il Responsabile è tenuto alla comunicazione al Titolare;
• la procedura da adottare in caso di rilevamento di data breach;
• le tempistiche entro cui il Fornitore dovrà procedere alla notifica verso il Titolare;
• l’adeguato supporto durante tutta la fase di analisi dell’incidente;
• la notifica al Garante privacy;
• la comunicazione agli interessati;
• l’obbligo di esecuzione di vulnerability assessment, penetration test e risk assesment;
• il rispetto per i principi della privacy by design con il correlativo obbligo in capo al fornitore di collaborazione per la loro attuazione.

Un punto delicato è quello secondo cui, a norma dell’art. 28 comma 4 del GDPR, occorra che il Responsabile imponga al proprio sub-Responsabile, mediante un contratto o un altro atto scritto, gli stessi obblighi di cui all’art. 28 comma 3 del GDPR contenuti nell’accordo tra il primo ed il Titolare, in particolare sotto il profilo delle misure di sicurezza adeguate al trattamento.

Sarà poi a carico del responsabile effettuare la nomina del sub-responsabile inserendo a carico di quest’ultimo tutti i relativi obblighi e doveri che, allo stesso modo, incombono su di lui.

In ogni caso, deve comunque rilevarsi che, a prescindere da quanto formalizzato con la nomina a sub-responsabile, l’originario Responsabile conserva l’intera responsabilità nei confronti del Titolare, rispondendo direttamente e personalmente nei confronti di quest’ultimo in relazione ad eventuali inadempimenti o violazioni della propria catena di subfornitura.

4. Controlli sui fornitori

In tema di controllo di quanto effettuato dai fornitori scelti, poi, nelle organizzazioni di grandi dimensioni, potrebbe essere opportuno organizzare il ciclo degli audit attraverso una prima fase relativamente generale per poi approfondire in dettaglio la verifica sulle aree contraddistinte da un maggior livello di criticità per potere valutare se il fornitore effettivamente adempia a tutto quanto stabilito con la nomina.

È comunque opportuno che tali controlli avvengano in modo continuo e cadenzato in modo da avere sempre sotto controllo l’attuazione di un adeguato livello di servizio che presti particolare attenzione alla qualità dei servizi offerti da parte del fornitore.

5. Ulteriori elementi contrattuali da definire

Oltre alla definizione dei predetti aspetti che costituiscono la parte fondamentale della nomina e che sono stabiliti dall’art 28 GDPR, vi sono una serie di ulteriori elementi accidentali che, ad opera delle parti, possono essere inseriti ai fini della regolamentazione del rapporto e che, tra gli altri, possono riguardare:

• l’allegazione di un documento tecnico ad opera del fornitore contenete la descrizione dettagliata di tutte le misure tecniche e organizzative messe in atto nell’offerta dei propri servizi;
• in caso di contratto con fornitori avente sede nei paesi extra-europei valutare l’inserimento della legge applicabile;
• la determinazione del foro in caso di controversie e relativa risoluzione delle stesse, eventualmente prevedendo la mediazione come strumento alternativo;
• l’inserimento di una clausola risolutiva espressa la cui operatività potrebbe coincidere con l’inadempimento del fornitore rispetto alle istruzioni impartite dal titolare o la perdita di un requisito essenziale e predeterminato;
• la determinazione delle rispettive responsabilità, le conseguenze in caso di inadempimento e l’eventuale inserimento di una clausola di manleva a favore di una delle parti.

6. Patologie nel rapporto di fornitura

Lato pratico, le difficoltà a cui si potrebbe andare incontro nella gestione di tali adempimenti, ancor più nelle organizzazioni di grandi dimensioni, potrebbero essere:

• la coesistenza di più contratti (lato privacy e lato servizi offerti) che difficilmente potrebbero intersecarsi dal punto di vista della predisposizione di un unico schema contrattuale;
• la vacatio contrattuale, ossia un trattamento di dati personali senza copertura, laddove i contratti siano scaduti ed in attesa di rinnovo;
• l’attribuzione ad un fornitore di un ruolo privacy errato o assente (ad es. il fornitore tratta i dati di clienti/dipendenti dell’organizzazione in totale autonomia senza essere assoggettato ad istruzioni operative, obblighi - es. misure di sicurezza - e controlli);
• mentre, con riferimento ai contratti già in essere, occorrerà valutare la predisposizione e la sottoscrizione di lettere di integrazione e/o modifica da sottoporre al fornitore o al sub-fornitore per regolamentare quanto non conforme alle attuali prescrizioni in tema di trattamento dei dati.

Ciò detto, i consigli esposti vorrebbero essere spunto utile per fare riflettere sul grado di complessità insito nella nomina del fornitore che non dovrebbe essere valutato come un mero atto unilaterale ma come un completo processo di selezione ad opera del titolare.

La scelta di un determinato soggetto dotato di certi requisiti piuttosto che di un altro, infatti, potrebbe avere conseguenze negative in termini di qualità delle operazioni di trattamento dei dati, poiché l’affidamento di servizi a fornitori non sicuri andrebbe a compromettere le operazioni sui dati personali con conseguenti possibili danni in capo ai soggetti interessati.