Supply Chain sicura con TYP: audit puntuali e soluzioni mirate

Il Regolamento europeo sulla protezione dei dati personali (GDPR), all’articolo 28, disciplina la figura del responsabile del trattamento dei dati personali individuando gli obblighi in capo allo stesso.

I rischi nella Supply Chain e il monitoraggio con TYP – Test Your Provider

Avvalendosi di responsabili esterni, gli obblighi in capo al titolare del trattamento sono traslati verso questi ultimi – ma pure verso i sub-responsabili, dato che l’articolo 28 consente di avvalersi anche di tale figura. Questo spostamento di responsabilità pone il titolare del trattamento nella posizione di verificare gli adempimenti di conformità normativa svolti – o meno – dai propri fornitori, mediante quelle attività ispettive previste dall’articolo 28 che rispondono all’esigenza di dimostrare che il titolare si sia attivato proprio per verificare il rispetto delle prescrizioni in tema di protezione dei dati personali, nel rispetto del principio di responsabilizzazione (accountability). Considerato il tempo trascorso dall’entrata in vigore del GDPR, il Titolare dovrebbe essere in grado di aver effettuato almeno un audit su tutti i responsabili esterni del trattamento.

Vuoi approfondire le tue esigenze in tema di Audit fornitori?

Ti aspettiamo al prossimo Colin Focus Day mercoledì 22 novembre alle 11.00

TYP (Test Your Provider), è il servizio erogato da Colin & Partners e risponde all’esigenza di enti, aziende e professionisti – titolari o responsabili del trattamento – di verificare il rispetto del GDPR da parte dei propri fornitori e adempiere agli obblighi individuati dall’articolo 28 del Regolamento.

TYP è quindi uno strumento tecnico-legale, una piattaforma informatica che si caratterizza per automazione e scalabilità. L’impiego di una soluzione informatica consente di automatizzare parte del tradizionale processo di monitoraggio nei confronti dei fornitori; essendo scalabile, ad un primo monitoraggio può seguirne un secondo. Il monitoraggio offerto da TYP, infatti, si basa su due livelli: il primo, svolto mediante l’ausilio della piattaforma; il secondo, con un audit di secondo livello personalmente svolto dai consulenti di Colin & Partners su quei fornitori che hanno manifestato criticità al primo monitoraggio con piattaforma, e ciò al fine di calmierare i rischi.

TYP si articola in tre momenti

Viene caricata la lista dei fornitori individuati sulla piattaforma. In base alla lista, gli stessi riceveranno, via posta elettronica, le credenziali di accesso alla piattaforma, dove procederanno alla compilazione di un questionario che consente di ottenere una visione completa dell’indice di rischio di conformità normativa associabile ad ogni fornitore. I fornitori hanno un termine per compilare il questionario, decorso il quale, se inottemperanti, riceveranno un sollecito per la compilazione del questionario stesso. In caso di mancata risposta, Colin & Partners, di concerto con il cliente, potrà procedere allo svolgimento di un audit de visu – come se si procedesse direttamente ad una analisi di secondo livello.

Con l’accesso alla piattaforma, i fornitori procedono alla compilazione dei questionari, partecipando così all’analisi di primo livello. Sulla base delle risposte date, ogni fornitore otterrà un indice di rischio basato su tre livelli: basso; medio; alto. Tale risultato è funzionale all’avvio dell’analisi di secondo livello che, quindi, è solo eventuale.

Si procede all’analisi di secondo livello quando, dall’esito del primo step, il fornitore ottiene un indice di rischio medio o alto – oppure risulta non abbia compilato il questionario. Tale analisi viene svolta direttamente dai consulenti della Colin & Partners. Da segnalare che la piattaforma TYP comprende una dashboard che consente analisi puntuali sulle aree di maggiore criticità tra i vari fornitori, in base alle risposte date.

L’attività di monitoraggio si chiude con una relazione finale che riporta il compimento delle attività svolte, al fine di poter dimostrare in accountability di aver assolto agli obblighi di audit sui responsabili.

Come interveniamo ulteriormente

Questo appena descritto era il primo dei due modelli di business che Colin & Partners offre per l’esternalizzazione del monitoraggio dei responsabili esterni. Il secondo modello riprende il primo e vi aggiunge, a seguito dell’analisi di secondo livello, una ulteriore analisi nei confronti del 10% dei fornitori a maggior rischio, cioè coloro i quali sono risultati maggiormente difformi e che quindi possono generare maggiori criticità. Ciò consente all’azienda di prendere azioni mirate proprio nei confronti di tali soggetti.

Affiancando efficacemente il cliente nella gestione del parco fornitori, sotto il profilo del rischio di compliance, e fornendo indicazioni e strategie volte ad evitare sanzioni per quelle aziende i cui processi aziendali e/o prodotti prevedano il trattamento di dati personali, TYP minimizza il pericolo che un’azienda, in tutta la sua articolazione, possa essere compromessa dall’inadeguatezza di un fornitore, con ricadute anche in termini di reputazione.

Risparmio di tempo, e di costi, rispetto alle tradizionali soluzioni basate su un monitoraggio interamente basato sulla persona, rendono TYP una scelta strategicamente vincente.