Previous Page  48 / 53 Next Page
Information
Show Menu
Previous Page 48 / 53 Next Page
Page Background

SPECIALE GDPR

78

dicembre 2017

retto. Il responsabile è infatti a sua volta responsabile

nei confronti degli interessati qualora il suo trattamento

avvenga in modo illecito. Occorrerà perciò predisporre

idonei presidi e verifiche per accertare periodicamente

la conformità dei trattamenti affidati ai terzi.

3. La collaborazione.

Per quanto riguarda la tutela dei

diritti dell’interessato, bisogna ricordare che l’outsourcing

comporta la perdita del controllo esclusivo sui dati; per-

tanto, il titolare dovrà assicurarsi che la società esterna

garantisca la propria collaborazione per permettergli di

comunicare, modificare, rettificare o cancellare i dati

dell’interessato, qualora esso eserciti i diritti previsti dal

Regolamento. Occorre anche definire quale sarà la sorte

dei dati e delle eventuali copie degli stessi in possesso

del fornitore, specie se i dati saranno restituiti, cancellati

in via definitiva o distrutti in qualche altro modo, in base

al supporto utilizzato per trattare i dati.

Il contratto tra titolare e responsabile

Pur modificando il termine utilizzato (non si parla più di

una ‘nomina a responsabile esterno’, come atto unilatera-

le da parte del titolare, al quale ci eravamo abituati con

il Codice Privacy), il Regolamento prevede comunque

che le attività di trattamento dei dati personali affidati

a una società esterna debbano essere disciplinate da un

contratto vincolante, avente forma scritta (anche in for-

mato elettronico) che disciplini in dettaglio i trattamenti,

la durata, la natura e la finalità del trattamento, il tipo

di dati personali e le categorie di interessati, gli obblighi

e i diritti del titolare del trattamento. I requisiti minimi

per quanto riguarda i contenuti del contratto tra tito-

lare e responsabile sono specificati all’art. 28, paragrafo

3 del Regolamento.

In sostanza, il responsabile è tenuto a rispettare i se-

guenti obblighi diretti, ai quali non è possibile derogare

contrattualmente:

- Trattare i dati esclusivamente su istruzioni documen-

tate da parte del titolare del trattamento, salvo che un

trattamento specifico sia richiesto dal diritto dell’UE

o da un diritto nazionale (in qual caso il responsabile

sarà tenuto a informare preventivamente il titolare

circa tale obbligo).

- Garantire che le persone che trattano i dati per conto

suo siano vincolate alla riservatezza.

- Adottare misure tecniche e organizzative idonee per

garantire un livello di sicurezza adeguato al rischio.

- Informare il titolare con riguardo all’assegnazione di

attività di trattamento a subappaltatori.

- Assistere il titolare nel fornire un riscontro adeguato

in caso di richieste da parte dei soggetti interessati.

- Cancellare e/o restituire tutti i dati personali alla fine

della prestazione di servizio.

- Permettere al titolare di dimostrare l’adempimento

degli obblighi privacy previsti dal Regolamento, anche

attraverso audit e verifiche periodiche.

Il Regolamento prevede che la Commissione o un’autorità

di controllo possano stabilire clausole contrattuali stan-

dard che prevedano gli obblighi sopra elencati. Tuttavia,

vale la pena notare che questi sono i requisiti minimi

per il contratto tra titolare e responsabile e che nulla

vieta al titolare di integrarli con ulteriori responsabilità

in capo alla società esterna, in particolare nei casi in cui

© iStock - ijeab

segue da pagina 76

prosegue a pagina 80

© iStock - stefanocar75

1 42 43 44 45 46 47 48 49 50 51 52 53  FlippingBook