Criteri di valutazione dinamica del responsabile esterno del trattamento

Data pubblicazione: 12/04/2022

I Responsabili del trattamento devono essere oggetto non solo di una valutazione iniziale, come richiede l’articolo 28 par. 1) del GDPR ma anche di una valutazione delle loro performance e qualifiche nel corso del tempo.

Incaricando un “Responsabile del trattamento”, lo si autorizza a trattare una serie di dati che possono appartenere al Titolare o ad un Titolare diverso da quello che contrattualizza il rapporto con il Responsabile, configurandosi così il caso di affidamento ad un sub-Responsabile. Il Titolare deve quindi assicurarsi della capacità del suo fornitore di adempire a quanto previsto contrattualmente. Oltre alla valutazione iniziale, deve essere effettuata la valutazione cosiddetta “dinamica ad intervalli, che deve anche essere aggiornata ogni qualvolta si verifichi un evento, come ad esempio un data breach, che possa mettere in discussione la capacità del Responsabile di adempiere a quanto previsto.

Tale tipologia di valutazione dovrebbe essere effettuata dal Titolare con una frequenza, di norma, annuale. Tale misura è prevista da diversi standard, come ad esempio la UNI EN ISO 9001:2015 paragrafo 8.4, e la ISO/IEC 271001:2013 nei controlli A15 “Relazione con i fornitori”.

Per effettuare tale attività, il Titolare si può basare su alcuni dei seguenti elementi:

  • richiesta di documentazione, come, ad esempio, i certificati di sistema di gestione/prodotto servizio e/o adesione a codici di condotta;
  • capacità, documentata dal fornitore, di rispettare le misure tecniche organizzative e le istruzioni definite nell’atto di designazione del Responsabile;
  • analisi delle procedure, tramesse dal Responsabile in versione aggiornata, quali data breach e quella/e previste per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative come richiede l’art. 32 par. 1d) del GDPR;
  • aggiornamento delle informazioni, raccolte tramite questionari compilati dal Responsabile.

Oltre ad una valutazione dinamica ad intervalli, come sopra indicato, il Titolare dovrebbe rivalutare il proprio fornitore in occasione di eventi critici, che ne possono miniare o concorrere a minare la reputazione, quali:

  • un data breach, che abbia coinvolto i dati che il Titolare ha fornito al Responsabile;
  • un data breach che abbia interessato il Responsabile ma non necessariamente i dati forniti dal Titolare;
  • risultati di audit effettuati da terze parti al Titolare, che abbiano fatto emergere dubbi circa la presenza di criticità imputabili al Responsabile.

Alla luce di quanto sopra, la valutazione dinamica del fornitore fornisce delle preziose informazioni che devono essere riconsiderate dal Titolare per valutare/riconsiderare la capacità di rispettare l’atto di designazione.

La valutazione dinamica del fornitore nel ruolo di Responsabile si dimostra di grande importanza; essa è, al pari della valutazione iniziale, una significativa misura di accountability; non può essere trascurata e deve essere supportata da procedure e documenti che oggettivino il processo, analogamente a quanto previsto per la valutazione iniziale, affinché si possa dar riscontro, in fase di ispezione, della capacità del Titolare di garantire quanto richiesto dal regolamento.

Fonte: Federprivacy