NOTA del 2018: questo articolo era di inizio 2016 ed è evidentemente sbagliato. Ha trovato risposte con la pubblicazione del GDPR.
Tempo addietro mi ero lamentato di come la normativa privacy attuale (non) tratta compiutamente le filiere di fornitura (il post iniziale, a cui ne sono seguiti altri 3, è il seguente:
http://blog.cesaregallotti.it/2011/04/privacy-dei-titolari-e-dei-responsabili.html).
In sostanza, un titolare (controller) può scegliere un responsabile (processor), ma un responsabile (processor) non può scegliere un sub-responsabile (sub-processor) per gli stessi trattamenti.
In molti casi si vedono dei responsabili che nominano i propri fornitori come... responsabili, anche se solo il titolare può nominare i responsabili.
Questi casi, purtroppo, non sono stati discussi compiutamente in questi 20 anni di normativa privacy, nonostante le filiere di fornitura diventino sempre più lunghe a causa del principio di specializzazione. In Italia, senza pensarci troppo, si nominano i fornitori come "responsabili esterni", nonostante questo sia discutibile.
L'ultima bozza d dicembre del Regolamento europeo sulla privacy sembra considerare il problema e permette ai responsabili di "coinvolgere altri responsabili", purché ne informino il titolare.
Però anche questa soluzione non è ottimale, né è adeguata ai nostri tempi. Si pensi ad una PMI che usa dei servizi di un grande operatore di telecomunicazioni o di servizi cloud: deve essere aggiornata su ogni cambiamento operato dal grande operatore? il grande operatore deve informare tutti i suoi clienti?
Pensiamo ad una normale catena di fornitura: un'azienda ha un fornitore per i servizi di predisposizione buste paga, il quale ha un fornitore per il servizio applicativo con cui predisporre le buste paga, il quale ha un fornitore di hosting, il quale ha un fornitore di manutenzione (per non parlare poi di consulenti, legali, auditor e altri coinvolti nelle attività).
Ma pensiamoci bene. Un operatore di telecomunicazioni non è un titolare? È lui quello che "determina le finalità e i mezzi per elaborare i dati personali". Un suo cliente compra quei servizi e, nella migliore delle ipotesi, dovrebbe chiedere dettagli su tali finalità e mezzi, valutare se sono allineate con le proprie finalità e misure di sicurezza, decidere se continuare ad averlo come fornitore. Il viceversa (ogni cliente chiede ai propri fornitori di seguire le proprie regole) è inapplicabile quando i numeri diventano grandi, ossia quando un fornitore ha tanti clienti e non può modificare i propri processi e meccanismi di sicurezza per ogni singolo cliente.
La bozza di Regolamento introduce le "terze parti", ma non è chiaro come interpretarle.
Speriamo questo argomento sia discusso con maggiore attenzione nel prossimo futuro.
Nessun commento:
Posta un commento