Privacy e appalti pubblici: come scegliere, il fornitore. Ecco una check list

Negli appalti pubblici occorre assicurare il rispetto dei principi della protezione dei dati fin dalla progettazione e di default non solo per evitare possibili sanzioni ma soprattutto nella consapevolezza del ruolo di esempio e modello che la PA deve assumere nella tutela di uno dei diritti fondamentali degli individui.

Nel momento in cui si opera la scelta di affidare ad altri soggetti servizi o forniture che prevedono il trattamento di dati personali occorre garantirsi, che gli stessi presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento (UE) 2016/679 e garantisca la tutela dei diritti dell’interessato.

Infatti, la responsabilità della violazione ricade sempre sul titolare del trattamento che deve, in ogni momento del rapporto, garantire ed essere in grado di dimostrare che il trattamento è effettuato in conformità al Regolamento. I fornitori si pongono come Responsabile del trattamento dei dati personali per conto del titolare e devono seguirne le istruzioni fornite per iscritto.

Linee Guida del Garante nazionale ed europeo ci aiutano e ci guidano nella scelta e ci indicano la strada da seguire. Vediamo insieme quali sono i punti di attenzione, una sorta di check list che focalizza gli aspetti più significativi del rapporto che intercorre tra titolare e fornitore:

• è presente una struttura organizzata e risulta nominato il RPD;
• è stato istituito il registro dei trattamenti con le sezioni per quelli “per conto”;
• sono state adottate le procedure a garanzia della compliance: tutela dei diritti degli interessati, gestione di eventuali violazione dei dati (data breach), valutazione di impatto;
• sono state adottate adeguate misure di sicurezza; sono presenti le certificazioni previste; è presente piano di disaster recovery e di business continuity; sono previste ed attuate regolarmente procedure di penetration test e vulnerabilty test; aderisce a codici di condotta;
• i dipendenti che operano sotto la sua responsabilità sono formati e istruiti; sono autorizzati agli specifici trattamenti;
• sono presenti eventuali sub-fornitori.

L’art. 28 del Regolamento e le Clausole contrattuali tipo[1], costituiscono una guida e un supporto nella scelta oltre a individuare e descrivere nei dettagli le condizioni che devono disciplinare i rapporti tra titolari e responsabili. Ma non basta, il titolare deve assicurarsi che i requisiti permangono anche successivamente alla stipula, ponendo in essere un costante monitoraggio a garanzia del permanere di quelle caratteristiche durante tutto il rapporto, oltre a regolamentarne la cessazione.

Se volete saperne di più:

• “Il responsabile del trattamento dei dati personali”
• Linee Guida EDPB 2/2020 del 7 luglio 2021
• Standard Contractual Clauses – Commissione UE decisione di esecuzione 2021/915 del 4 giugno 2021

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

[1] Standard Contractual Clauses – Commissione UE decisione di esecuzione 2021/915 del 4 giugno 2021