GDPR in azienda e la gestione delle terze parti digital.

Il CFO rappresenta una funzione chiave all’interno dell’azienda che gestisce le attività di carattere tecnico-finanziario e interviene nella definizione delle decisioni strategiche. La sua esperienza deve garantire che tutte le scelte rispettino le leggi e le normative. Per questo motivo il CFO si configura come il braccio destro del CEO.

A cosa serve il GDPR nel processo di selezione di un fornitore?

All’epoca della rivoluzione digitale, i fornitori che trattano dati personali dell’azienda sono sempre più numerosi, e la decisione di affidare parte delle attività ad un fornitore è di strategica importanza per le aziende medie italiane che non possiedono internamente i skills necessari per affrontare le proprie necessità di sviluppo e di gestione. L’azienda oltre a verificare l’attendibilità della terza parte sia a livello finanziario, qualitativo, tecnico deve anche preoccuparsi della sua reputazione e della conformità alle leggi. In questo senso, il GDPR richiede alle aziende di assicurarsi che le terze parti coinvolte per processare i dati personali per il suo conto presentino garanzie sufficienti e garantiscano la sicurezza dei dati trattati e dei diritti delle persone proprietari dei dati. Questi accorgimenti vanno presi e messi in atto anche per fornitori destinatari di dati personali che non svolgono ulteriori elaborazioni ma che contengono i dati dell’azienda, come i provider digitali sul web, le server farm, le piattaforme di back up di dati, …. 

Inoltre, se è vero che la collaborazione con fornitori esterni rappresenta la forza di un’azienda, è altrettanto assodato che queste esternalizzazioni possono creare rischi non indifferenti per l’azienda che apre un canale privilegiato di comunicazione e le porte dei suoi sistemi informatici. Il Clusit, nel suo rapporto 2022 ricorda che gli attacchi informatici con introduzione di virus malevoli nei sistemi hanno coinvolto ogni mese 190 società in Italia e nella maggior parte dei casi delle PMI che non godono di sistemi di sicurezza articolati.

E quindi necessario individuare fornitori affidabili per il rispetto del GDPR ma anche fondamentale per lo sviluppo economico e la reputazione dell’azienda.

I rischi per l’azienda 

Il GDPR colloca tutti i rischi in capo al titolare del trattamento, ossia la società che utilizza i servizi di terze parti per processare dati personali. La società, si trova in qualche sorta “capo fila” e, deve, ai sensi dell’art 24 del GDPR, mettere in atto misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al GDPR, anche se il trattamento viene svolto da e presso una terza parte. In questo senso, in aggiunta al contratto commerciale di servizi, l’azienda deve sottoscrivere un contratto titolare – responsabile specifico sulla protezione dei dati personali con clausole definite dal GDPR e dare istruzioni operative sul trattamento, l’archivio dei dati, la cancellazione dei dati, l’utilizzo di sub fornitori, le attività da svolgere in caso di violazione di dati personali come un data breach, ……. 

Il rischio per la società, in caso di violazione degli obblighi del GDPR, è calcolato sui parametri dell’art. 83 del GDPR e può essere molto elevato con una sanzione amministrativa pecuniaria fino a 10 000 000 EUR, o il 2 % del fatturato annuo dell’azienda.

Cosa fare?

Per l’accountability, gli obblighi imposti dal GDPR nella gestione delle terze parti, sin dalla fase di selezione, devono fare parte dei processi ordinari aziendali per assicurare il successo dell’azienda, la sua conformità integrata e la fiducia dei propri stakeholders. In questo senso, il CFO con il supporto del suo consulente RGPD ha la necessità di predisporre un processo terze parti integrante ed assicurare la sua applicazione in azienda.

La prima fase riguarda la selezione del fornitore, quando l’azienda ha individuato i soggetti capaci a riempire l’obiettivo in termine professionale, in quanto prima di affidare il servizio, è necessario svolgere le prime verifiche nel rispetto del principio di Privacy by design e by default (art 25 GDPR):

• Verificare l’assetto privacy interno e le misure di sicurezza del fornitore,
• Svolgere un sopra luogo e incontrare il DPO del fornitore,
• Realizzare una due diligence del fornitore e dei subfornitori su internet per verificare la conformità al GDPR degli strumenti digitali,
• Sottoscrivere il contratto titolare – responsabile corredato di istruzioni specifiche, prima di avviare le attività,
• Ottenere, se applicabile, la lista dei sub-fornitori coinvolti dal fornitore nelle attività oggetto del contratto,
• Nel caso in cui il fornitore copre anche la funzione di amministratore di sistema, svolgere gli obblighi specifici richiesti dal Garante Privacy.

Per i fornitori in essere, l’azienda deve verificare lo stato dell’arte e svolgere le attività previste definite sopra, in quanto, anche se il contratto di servizi è stato perfezionato prima dell’applicazione del GDPR in 2018, il fornitore deve comunque dimostrare la sua adeguatezza alla normativa e sottoscrivere un contratto titolare – responsabile a regola d’arte.

Per i fornitori infragruppo, la regola dettagliata è la stessa, in quanto il GDPR non riconosce la nozione di gruppo d’impresa, ma il titolare del trattamento è sempre un’entità giuridica unica autonoma.

La formalizzazione dei rapporti va quindi disciplinata formalmente sia dal punto di vista giuridico, ma anche dal punto di vista operativo e tecnico. Nella preparazione del contratto è necessario il coinvolgimento del consulente Privacy dell’azienda ma anche dei referenti privacy interni per precisare le informazioni e le istruzioni che saranno necessarie per dimostrare la conformità della società in caso di richiesta di informazioni da parte del Garante della Privacy. 

La documentazione contrattuale va aggiornata periodicamente con la lista delle misure di sicurezza e la lista dei sub fornitori attuale. I controlli di conformità del fornitore vanno effettuati ciclicamente, con visite on site, audit, o richieste di compilazione di questionario di sicurezza aggiornato e integrato di nuove necessità per soddisfare il principio di accountability ed ottenere le necessarie garanzie da parte del fornitore.

Infine, la scelta di un DPO preparato che abbia un programma di controllo specifico nell’ambito della gestione delle terze parti, come specificato dal GDPR, e un programma di verifica periodico relativo alla selezione, il monitoraggio e l’audit dei fornitori è fondamentale per sviluppare maggiore consapevolezza e gestire i rischi.

In conclusione, l’azienda ha la necessità di implementare una gestione accurata delle terze parti. Il percorso, per essere vincente, va calibrato con il supporto di un “DPO” altamente specializzato che garantisce un controllo sull’adeguatezza, l’applicazione dei processi e vigila sul rispetto del GDPR.

Grazie al fractional management, le PMI possono organizzarsi come una grande impresa ed inserire profili altamente specializzati nel proprio organigramma per garantire l’adeguatezza alla regolamentazione sulla protezione dei dati personali e alla gestione delle terze parti a supporto del CFO.