Valutazione dei Responsabili del Trattamento Terzi

Cos’è Valutazione dei Responsabili del Trattamento Terzi?

La valutazione dei responsabili del trattamento dati terzi è il processo di due diligence richiesto dall'Articolo 28 del GDPR, che impone ai titolari del trattamento di utilizzare solo responsabili che forniscano 'garanzie sufficienti' di misure tecniche e organizzative appropriate per la protezione dei dati. Sei direttamente responsabile per le violazioni di conformità dei tuoi responsabili del trattamento, quindi la valutazione non è una formalità. Questo esercizio simula la valutazione di un fornitore SaaS che la tua organizzazione vuole ingaggiare per il trattamento dei dati dei clienti. Esaminerai le loro certificazioni di sicurezza, le pratiche di gestione dei dati, gli accordi con i sub-responsabili e le procedure di notifica delle violazioni. Lo scenario include un Accordo sul Trattamento dei Dati (DPA) realistico con clausole che devi valutare, alcune delle quali non soddisfano i requisiti del GDPR. Identificherai lacune come obblighi di notifica sui sub-responsabili mancanti, impegni vaghi sulla cancellazione dei dati e diritti di audit inadeguati. L'esercizio copre anche la questione dei trasferimenti internazionali di dati: se il tuo responsabile utilizza infrastrutture al di fuori dello SEE, devi verificare che siano in atto garanzie adeguate ai sensi del Capo V. Esempi reali di applicazione illustrano la posta in gioco. Le autorità di controllo hanno ritenuto responsabili i titolari per le violazioni dei responsabili del trattamento, inclusi casi in cui il responsabile ha subito una violazione che il titolare avrebbe potuto prevenire con una due diligence migliore. Costruirai un framework di valutazione del fornitore che il tuo team acquisti potrà riutilizzare, trasformando un esercizio di conformità una tantum in una capacità organizzativa ripetibile.

Cosa imparerai in Valutazione dei Responsabili del Trattamento Terzi

• Valutare se un responsabile del trattamento fornisce garanzie sufficienti ai sensi dell'Articolo 28 del GDPR attraverso la revisione documentale delle evidenze
• Esaminare gli Accordi sul Trattamento dei Dati per le clausole richieste inclusi i controlli sui sub-responsabili, i diritti di audit e gli obblighi di cancellazione
• Valutare i meccanismi di trasferimento internazionale dei dati di un fornitore quando l'infrastruttura si estende al di fuori dello SEE
• Identificare le carenze comuni nei DPA che creano lacune di conformità e negoziare le correzioni prima della firma
• Costruire un framework di valutazione fornitore riutilizzabile che integri la due diligence GDPR nei flussi di lavoro di approvvigionamento

Valutazione dei Responsabili del Trattamento Terzi — Fasi della formazione

1. Introduzione

   Oggi, il team di marketing ha presentato una richiesta per l'integrazione di un nuovo fornitore di analisi della posta elettronica chiamato DataPulse Analytics. Prima di poter firmare qualsiasi contratto, è necessario rivedere il loro Accordo sul trattamento dei dati (DPA) per la conformità al GDPR.

2. Comprendere la propria responsabilità

   Ai sensi dell’articolo 28 del GDPR, le organizzazioni che utilizzano processori di terze parti sono responsabili di garantire che tali processori gestiscano correttamente i dati personali. Ciò significa: Un accordo scritto sul trattamento dei dati è richiesto per legge Il DPA deve includere clausole obbligatorie specifiche Sei responsabile se il tuo processore viola il GDPR La due diligence deve avvenire PRIMA di firmare qualsiasi contratto Il tuo compito è proteggere TechForward dai rischi di conformità individuando i problemi prima che diventino responsabilità legali.

3. Accesso al Portale Acquisti

   Ricevi una notifica che una nuova richiesta fornitore è in attesa di revisione. Il team di marketing è ansioso di iniziare a utilizzare DataPulse Analytics per il monitoraggio delle campagne del primo trimestre. Accediamo al portale degli appalti per esaminare la richiesta e la proposta di DPA del fornitore.

4. Revisione della richiesta del fornitore

   Vedi la richiesta in sospeso del team Marketing. DataPulse Analytics fornisce analisi delle campagne e-mail, monitorando i tassi di apertura, le percentuali di clic e il coinvolgimento degli abbonati. Ciò significa che elaboreranno i dati personali inclusi indirizzi e-mail, dati comportamentali e potenzialmente informazioni sul dispositivo dei clienti di TechForward. Il fornitore ha allegato il proprio DPA standard. Esaminiamolo attentamente.

5. Prima bandiera rossa: misure di sicurezza vaghe

   Analizzando il DPA, il primo problema salta subito all'occhio. Nella sezione Misure di sicurezza, l’accordo afferma semplicemente: 'DataPulse Analytics mantiene misure di sicurezza standard del settore per proteggere i dati personali.' Questo è troppo vago. L’articolo 32 del GDPR richiede misure tecniche e organizzative specifiche e adeguate, non promesse generiche.

6. Seconda bandiera rossa: nessuna clausola del sub-responsabile

   Proseguendo la revisione, cerchi le disposizioni del sub-responsabile. Questo è fondamentale perché DataPulse probabilmente utilizza fornitori di infrastrutture cloud, servizi di consegna di posta elettronica o altri fornitori per gestire la propria piattaforma. Non trovi... niente. Il DPA non fa alcuna menzione dei sub-responsabili del trattamento. Secondo il GDPR, i responsabili del trattamento devono ottenere l’autorizzazione prima di assumere sub-responsabili del trattamento e tutti i sub-responsabili del trattamento devono essere vincolati agli stessi obblighi di protezione dei dati.

7. Terza bandiera rossa: assenza di diritti di revisione

   Cerchi disposizioni in materia di audit e ispezione, un altro elemento obbligatorio ai sensi dell'articolo 28. In qualità di titolare del trattamento dei dati, TechForward ha il diritto di verificare che i responsabili del trattamento rispettino effettivamente i loro obblighi. La DPA non contiene alcuna disposizione relativa a controlli di sorta. Senza diritti di controllo, non hai modo di verificare le dichiarazioni di conformità di DataPulse. Ti fideresti ciecamente di loro.

8. Quarta bandiera rossa: problemi di trasferimento internazionale

   La DPA afferma che i dati vengono elaborati su server negli Stati Uniti. Tuttavia, non si fa menzione di clausole contrattuali standard (SCC), decisioni di adeguatezza o qualsiasi altro meccanismo di trasferimento. Il trasferimento di dati personali al di fuori del SEE richiede garanzie legali specifiche. Senza di essi, questo trasferimento sarebbe illegale ai sensi del Capo V del GDPR.

9. Quinta bandiera rossa: nessuna sequenza temporale per la cancellazione dei dati

   Infine, controlli cosa succede ai dati di TechForward alla scadenza del contratto. Il DPA precisa: 'Al momento della risoluzione, DataPulse Analytics cancellerà o restituirà i dati su richiesta del titolare del trattamento.' A prima vista sembra ragionevole, ma non esiste una tempistica specifica. Senza una scadenza, i dati potrebbero rimanere nei loro sistemi indefinitamente. Il GDPR richiede che i dati vengano cancellati o restituiti tempestivamente al termine del trattamento.

10. Documentare la tua valutazione

    Hai identificato cinque problemi critici con il DPA di DataPulse: 1. Misure di sicurezza vaghe (nessun controllo tecnico specifico) 2. Nessun obbligo di notifica o autorizzazione al subresponsabile del trattamento 3. Nessun diritto di verifica o ispezione per TechForward 4. Trasferimenti internazionali senza SCC o garanzie 5. Nessuna tempistica per la cancellazione dei dati al termine del contratto Ora è necessario documentare questi risultati nel modulo di valutazione del fornitore e specificare le modifiche richieste prima che il contratto possa procedere.