In questo breve articolo vedremo perché è fondamentale, per l’azienda, controllare che i propri responsabili esterni rispettino la normativa privacy, anche alla luce del recentissimo provvedimento sanzionatorio del Garante per la Protezione dei Dati Personali.
CHI È IL RESPONSABILE ESTERNO DEL TRATTAMENTO?
L’art. 4 del GDPR definisce “Responsabile del trattamento” quel soggetto che “tratta dati personali per conto del titolare del trattamento”, determinandone mezzi e finalità. Facciamo un esempio pratico: la tua azienda è titolare dei dati di clienti e fornitori, dati (es. fatture) che vengono trasmessi al commercialista per gli adempimenti fiscali. Ecco, il commercialista è uno dei tuoi responsabili esterni. Allo stesso modo è responsabile esterno il consulente del lavoro che conosce i dati dei tuoi dipendenti (per le buste paga), le Software House dei gestionali utilizzati dall’azienda, ecc.
COSA DEVE FARE IL TITOLARE?
L’art. 28 dl GDPR obbliga il Titolare del trattamento a nominare con atto scritto i Responsabili esterni, ma non prima di aver effettuato un’idonea valutazione delle garanzie che questi prestano in relazione al trattamento dei dati personali che gli vengono affidati.
In particolare, il Titolare dovrà verificare che il Responsabile presti idonee garanzie, volte ad assicurare misure tecniche ed organizzative adeguate alla tutela dei soggetti interessati. Questo controllo, che deve essere dimostrabile, evita al Titolare di incorrere sia in responsabilità solidali per i danni causati agli interessati (art. 82 GDPR), sia in sanzioni amministrative comminate dall’Autorità Garante.
SE IL TITOLARE NON CONTROLLA? LE RECENTI SANZIONI DEL GARANTE
Una Casa di cura lombarda, a seguito di una segnalazione della polizia postale, ha scoperto di essere stata vittima di un attacco informatico ad opera del noto gruppo hacker LulzSec_ITA che, sul proprio profilo Twitter, aveva pubblicato immagini radiologiche ricollegabili alla struttura assistenziale, con annesse frasi di critica riferite al fatto che dati particolari degli interessati erano protetti con mere password di default.
L’istruttoria del Garante ha stabilito che il software fornito dal Responsabile esterno (la Software House) – ed utilizzato dal Titolare (la Casa di cura) per la gestione di immagini medicali – era sprovvisto di protocolli di rete sicuri (https) e non aveva idonee password policy. Conseguentemente:
- Il Responsabile del trattamento (la Software House) è stato multato con una sanzione di 7.000 euro per la mancata adozione di misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato (Ingiunzione 2 dicembre 2021, n. 423);
- Il Titolare del trattamento (la Casa di cura) è stato multato con una sanzione di 30.000 euro in quanto l’incidente di sicurezza verificatosi non poteva essere ritenuto imputabile soltanto al Responsabile Esterno, ma anche alla Casa di cura, la quale, anch’essa, si è resa responsabile della mancata adozione di misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei dati personali trattati mediante il software (Ingiunzione 2 dicembre 2021, n. 422)
Ma perché, se l’illecito è nato dalle carenze del software, è stato multato anche il Titolare del trattamento (anche in maniera più salata)? Lo dice lo stesso provvedimento del Garante, il quale, oltre a contestare alla Casa di cura la violazione in proprio della normativa privacy, ha anche ricordato che la circostanza per cui la Software House, quale Responsabile del Trattamento, avesse garantito l’installazione di un software avente “la piena compliance al GDPR”, non esonera da responsabilità la Casa di cura, che avrebbe dovuto svolgere attività di vigilanza, controllo o revisione in merito alla sicurezza dei dati trattati dalla Software House.
IL CONTROLLO DELLA PRIVACY COMPLIANCE DEI TUOI RESPONSABILI ESTERNI NON PUÒ PIÙ ATTENDERE
Il caso esaminato è il “classico esempio” di un Titolare del trattamento colpito dalle sanzioni del Garante anche per colpa di un Responsabile esterno non compliant al GDPR: un attento controllo a monte, ai sensi dell’art. 28 del GDPR, avrebbe probabilmente evitato la perdita di dati e la conseguente sanzione alla Casa di cura per “non avere controllato” il proprio fornitore.
La tua azienda ricorre a responsabili esterni (commercialista, consulente del lavoro, software house, ecc)? Hai controllato se questi soggetti adottano le misure di sicurezza necessarie per proteggere i dati che la tua azienda gli affida?
Nessun problema: questa verifica possiamo farla noi per te!
Desideri ricevere maggiori informazioni?
In questo breve articolo vedremo perché è fondamentale, per l’azienda, controllare che i propri responsabili esterni rispettino la normativa privacy, anche alla luce del recentissimo provvedimento sanzionatorio del Garante per la Protezione dei Dati Personali.
CHI È IL RESPONSABILE ESTERNO DEL TRATTAMENTO?
L’art. 4 del GDPR definisce “Responsabile del trattamento” quel soggetto che “tratta dati personali per conto del titolare del trattamento”, determinandone mezzi e finalità. Facciamo un esempio pratico: la tua azienda è titolare dei dati di clienti e fornitori, dati (es. fatture) che vengono trasmessi al commercialista per gli adempimenti fiscali. Ecco, il commercialista è uno dei tuoi responsabili esterni. Allo stesso modo è responsabile esterno il consulente del lavoro che conosce i dati dei tuoi dipendenti (per le buste paga), le Software House dei gestionali utilizzati dall’azienda, ecc.
COSA DEVE FARE IL TITOLARE?
L’art. 28 dl GDPR obbliga il Titolare del trattamento a nominare con atto scritto i Responsabili esterni, ma non prima di aver effettuato un’idonea valutazione delle garanzie che questi prestano in relazione al trattamento dei dati personali che gli vengono affidati.
In particolare, il Titolare dovrà verificare che il Responsabile presti idonee garanzie, volte ad assicurare misure tecniche ed organizzative adeguate alla tutela dei soggetti interessati. Questo controllo, che deve essere dimostrabile, evita al Titolare di incorrere sia in responsabilità solidali per i danni causati agli interessati (art. 82 GDPR), sia in sanzioni amministrative comminate dall’Autorità Garante.
SE IL TITOLARE NON CONTROLLA? LE RECENTI SANZIONI DEL GARANTE
Una Casa di cura lombarda, a seguito di una segnalazione della polizia postale, ha scoperto di essere stata vittima di un attacco informatico ad opera del noto gruppo hacker LulzSec_ITA che, sul proprio profilo Twitter, aveva pubblicato immagini radiologiche ricollegabili alla struttura assistenziale, con annesse frasi di critica riferite al fatto che dati particolari degli interessati erano protetti con mere password di default.
L’istruttoria del Garante ha stabilito che il software fornito dal Responsabile esterno (la Software House) – ed utilizzato dal Titolare (la Casa di cura) per la gestione di immagini medicali – era sprovvisto di protocolli di rete sicuri (https) e non aveva idonee password policy. Conseguentemente:
- Il Responsabile del trattamento (la Software House) è stato multato con una sanzione di 7.000 euro per la mancata adozione di misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato (Ingiunzione 2 dicembre 2021, n. 423);
- Il Titolare del trattamento (la Casa di cura) è stato multato con una sanzione di 30.000 euro in quanto l’incidente di sicurezza verificatosi non poteva essere ritenuto imputabile soltanto al Responsabile Esterno, ma anche alla Casa di cura, la quale, anch’essa, si è resa responsabile della mancata adozione di misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei dati personali trattati mediante il software (Ingiunzione 2 dicembre 2021, n. 422)
Ma perché, se l’illecito è nato dalle carenze del software, è stato multato anche il Titolare del trattamento (anche in maniera più salata)? Lo dice lo stesso provvedimento del Garante, il quale, oltre a contestare alla Casa di cura la violazione in proprio della normativa privacy, ha anche ricordato che la circostanza per cui la Software House, quale Responsabile del Trattamento, avesse garantito l’installazione di un software avente “la piena compliance al GDPR”, non esonera da responsabilità la Casa di cura, che avrebbe dovuto svolgere attività di vigilanza, controllo o revisione in merito alla sicurezza dei dati trattati dalla Software House.
IL CONTROLLO DELLA PRIVACY COMPLIANCE DEI TUOI RESPONSABILI ESTERNI NON PUÒ PIÙ ATTENDERE
Il caso esaminato è il “classico esempio” di un Titolare del trattamento colpito dalle sanzioni del Garante anche per colpa di un Responsabile esterno non compliant al GDPR: un attento controllo a monte, ai sensi dell’art. 28 del GDPR, avrebbe probabilmente evitato la perdita di dati e la conseguente sanzione alla Casa di cura per “non avere controllato” il proprio fornitore.
La tua azienda ricorre a responsabili esterni (commercialista, consulente del lavoro, software house, ecc)? Hai controllato se questi soggetti adottano le misure di sicurezza necessarie per proteggere i dati che la tua azienda gli affida?