I Responsabili del trattamento devono essere oggetto non solo di una valutazione iniziale, come richiede l’articolo 28 par. 1) del GDPR ma anche di una valutazione delle loro performance e qualifiche nel corso del tempo.
Incaricando un “Responsabile del trattamento”, lo si autorizza a trattare una serie di dati che possono appartenere al Titolare o ad un Titolare diverso da quello che contrattualizza il rapporto con il Responsabile, configurandosi così il caso di affidamento ad un sub-Responsabile. Il Titolare deve quindi assicurarsi della capacità del suo fornitore di adempire a quanto previsto contrattualmente. Oltre alla valutazione iniziale, deve essere effettuata la valutazione cosiddetta “dinamica ad intervalli”, che deve anche essere aggiornata ogni qualvolta si verifichi un evento, come ad esempio un data breach, che possa mettere in discussione la capacità del Responsabile di adempiere a quanto previsto.
Tale tipologia di valutazione dovrebbe essere effettuata dal Titolare con una frequenza, di norma, annuale. Tale misura è prevista da diversi standard, come ad esempio la UNI EN ISO 9001:2015 paragrafo 8.4, e la ISO/IEC 271001:2013 nei controlli A15 “Relazione con i fornitori”.
Per effettuare tale attività, il Titolare si può basare su alcuni dei seguenti elementi:
Oltre ad una valutazione dinamica ad intervalli, come sopra indicato, il Titolare dovrebbe rivalutare il proprio fornitore in occasione di eventi critici, che ne possono miniare o concorrere a minare la reputazione, quali:
Alla luce di quanto sopra, la valutazione dinamica del fornitore fornisce delle preziose informazioni che devono essere riconsiderate dal Titolare per valutare/riconsiderare la capacità di rispettare l’atto di designazione.
La valutazione dinamica del fornitore nel ruolo di Responsabile si dimostra di grande importanza; essa è, al pari della valutazione iniziale, una significativa misura di accountability; non può essere trascurata e deve essere supportata da procedure e documenti che oggettivino il processo, analogamente a quanto previsto per la valutazione iniziale, affinché si possa dar riscontro, in fase di ispezione, della capacità del Titolare di garantire quanto richiesto dal regolamento.
Fonte: Federprivacy