La scelta del fornitore: obblighi e opportunità

La valutazione dei fornitori è una scelta strategica, frutto del bilanciamento di numerosi elementi: costi, tempi, soluzioni proposte, impatti sul business etc.

Dal 2018 il GDPR richiede al Titolare di tenere in considerazione anche gli impatti privacy, prevedendo l’obbligo di affidarsi a responsabili del trattamento “che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

Laddove un prodotto o servizio fornito da terzi impatti sul trattamento di dati personali, occorre dimostrare le valutazioni che sono state svolte nella scelta di quel fornitore e di quella soluzione, scelte assunte in accountability tenuto conto delle specifiche del caso. Scelte che è opportuno documentare, per essere in grado di dimostrare le valutazioni svolte e le conseguenti soluzioni adottate.

Elementi altresì utili alla definizione contrattuale dei rapporti tra le parti, non soltanto relativamente alle adeguate istruzioni che il titolare deve fornire al responsabile del trattamento, ma con riferimento a svariati aspetti del rapporto, quali in tema di garanzia, responsabilità, concretizzazione obblighi di supporto etc.

Il tema dell’adeguatezza dei fornitori e della gestione dei relativi rapporti contrattuali è al centro di numerose decisioni a livello comunitario.

Il Parlamento UE ha di recente ricevuto una reprimenda dall’EDPS (European Data Protection Supervisor, l’Autorità di sorveglianza del rispetto della normativa privacy negli Enti ed Istituzioni dell’UE), tra gli altri motivi, perché non ha svolto le opportune valutazioni né fornito idonee istruzioni al fornitore individuato per la creazione del sito web istituito dal Parlamento per la prenotazione del test Covid-19 da parte dei soggetti che accedono a vario titolo alle sedi parlamentari.

Prosegue nell’articolo completo su IOTtoday