Supply Chain protagonista. Ecco come garantirne la compliance

25/10/2023
di Alessandro Cecchetti

La Supply Chain è al centro di molte normative europee. La compliance è l’attività con cui le aziende provvedono a conformarsi alla normativa di riferimento, in base alle loro caratteristiche operative.

Vuoi approfondire le tue esigenze in tema di Audit fornitori?

Ti aspettiamo al prossimo Colin Focus Day mercoledì 22 novembre alle 11.00

Rispetto alla normativa in materia di protezione dei dati personali, le aziende che trattano tali dati sono tenute al rispetto di quell’impianto normativo che vede al suo apice il Regolamento europeo sulla protezione dei dati personali, il 2016/679/UE (cosiddetto GDPR) – senza dimenticare la normativa domestica del Codice in materia di protezione dei dati personali, ossia il Decreto legislativo n. 196 del 2003, opportunamente novellato nel 2018 al fine di adeguarsi alle prescrizioni del GDPR.

La conformità nella Supply Chain

La compliance della filiera di fornitura è un passaggio obbligato della normativa e strategico per il titolare dei dati. Ma non è così banale raggiungerlo, sia sotto il grado di dettaglio che la normativa dedica al tema ma anche per il dato numerico. E’ per queste ragioni che Colin ha ideato il servizio TYP – Test Your Provider dedicato proprio alla gestione della supply chain.

Capita difatti che l’azienda, identificata come titolare del trattamento dei dati personali, necessiti di soggetti che effettuino il trattamento per conto suo. A tal proposito, la norma chiave è l’articolo 28 del GDPR, che consente al titolare di nominare responsabili del trattamento che presentino garanzie sufficienti tali da poter mettere in atto misure tecniche ed organizzative adeguate, in modo che il trattamento soddisfi i requisiti prescritti dal GDPR e garantisca la tutela dei diritti degli interessati. Viene quindi posta maggiore enfasi quanto all’individuazione del responsabile: figura che era già prevista dal Codice privacy di cui sopra, e che il GDPR ha maggiormente responsabilizzato, rispetto alla gestione del trattamento dei dati personali richiedendo che abbia una competenza qualificata, oltre che disporre di risorse tecniche adeguate all’attuazione dei vari obblighi.

Chi sono i responsabili e come si definiscono le responsabilità

L’articolo 28, come si è anticipato, si occupa proprio di disciplinare la figura del responsabile del trattamento e – come vedremo più avanti – di eventuali sub-responsabili. Stabilisce, tra le varie, le condizioni che il contratto tra titolare e responsabile del trattamento deve prevedere, definendo le obbligazioni chiave. Al responsabile è fatto l’obbligo, tra i vari, di adottare le opportune misure tecniche ed organizzative tali da garantire un livello di sicurezza adeguato al rischio, di assistere il titolare nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, di mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto dei vari obblighi – normativi, contrattuali e derivanti da provvedimenti dell’Autorità –, consentendo e contribuendo alle attività di revisione, comprese le ispezioni.

In una realtà economica così dinamica come quella attuale, il responsabile potrebbe trovarsi nella condizione di dover individuare e nominare sub-responsabili del trattamento. Ciò è previsto sempre dall’articolo 28, dietro autorizzazione del titolare. Il sub-responsabile non era previsto dal Codice privacy ma nasce con il GDPR; così, diversamente dal passato, il Regolamento tiene conto dell’attuale realtà economico-produttiva che il Codice privacy ignorava.

L’accountability del titolare

Dunque, il GDPR consente non solo lo spostamento degli obblighi normativi dal titolare al responsabile, ma pure dal responsabile al sub-responsabile. Per quanto riguarda quest’ultimo, il responsabile iniziale conserva, nei confronti del titolare del trattamento, l’intera responsabilità dell’adempimento degli obblighi del sub-responsabile. Questo spostamento di responsabilità pone il titolare del trattamento nella condizione di verificare l’attività di conformità attuata da responsabili e sub-responsabili, mediante quelle ispezioni che l’articolo 28 gli impone di effettuare. E ciò è funzionale al rispetto del principio di responsabilizzazione (accountability), per cui il titolare deve essere in grado di dimostrare che si sia attivato al fine di verificare la conformità dei suoi fornitori; al tempo stesso, i fornitori dovranno dimostrare di aver provveduto al rispetto degli obblighi normativi.

Dato che la non conformità alle prescrizioni del GDPR comporta, per l’azienda, l’esposizione al rischio di una importante sanzione, che può raggiungere un importo pari al 4% del fatturato globale dell’azienda o pari a 20.000.000 di euro, è importante per la stessa individuare quei fornitori che diano garanzie tali da mettere in atto tutte quelle misure tecniche ed organizzative adeguate rispetto alle attività di trattamento dei dati personali.

La compliance della filiera è quindi di vitale importanza, non solo per evitare sanzioni significative, ma anche per instaurare fiducia nei clienti. Una gestione responsabile – e responsabilizzata – nel trattamento dei dati personali indica impegno verso la sicurezza e la riservatezza delle informazioni, e ciò può rappresentare un vantaggio competitivo per le aziende. L’aderenza alla normativa gioca un ruolo essenziale anche per quanto riguarda il miglioramento dell’efficienza operativa aziendale, riducendo il tempo e le risorse necessarie, la gestione del rischio, cosicché le aziende saranno più inclini a identificare e gestire i vari rischi aziendali riducendo la probabilità di problemi legali come anche di quelli finanziari, nonché la reputazione, che contribuirà ad aumentare la fiducia sia nei clienti che negli investitori.

Il supporto di TYP

E’ uno strumento agile e cost-effective di Audit fornitori rivolto a enti, aziende e professionisti. Combina una piattaforma tecnologica al supporto consulenziale e consente un monitoraggio costante e continuo della “galassia fornitori” per assumere tempestivamente opportune iniziative correttive. In tal modo viene minimizzato il pericolo che una impeccabile organizzazione aziendale possa essere “compromessa” dall’inadeguatezza di un fornitore, frustrando così gli investimenti in compliance.

Riproduzione riservata ©

ALTRE NEWS

Pagamenti alle PP.AA: linee guida

Le Linee Guida per l’effettuazione dei pagamenti elettronici a favore delle pubbliche amministrazioni e dei gestori di servizi pubblici sono state finalmente approvate con parere… Leggi Tutto

Identikit dei principali reati informatici ex D.Lgs.231/01

Il chi, quando, cosa, come e perché dell’accesso abusivo ad un sistema informatico o telematico (art.615 ter c.p.) Quando. L’accesso abusivo punisce la condotta di… Leggi Tutto

Il gruppo dei garanti detta le regole per un corretto bilanciamento degli interessi

Tra le cause di esclusione della necessità, per il titolare,  di richiedere il consenso dell’interessato per procedere al trattamento dei suoi dati personali, si annovera,… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form