La Direttiva 95/46/EC ora in vigore non regola i subfornitori. Un titolare (controller) può scegliere un fornitore e nominarlo responsabile, ma un cosiddetto responsabile esterno non può nominare un proprio fornitore come responsabile.
Come risultato, in questi anni, molti responsabili esterni hanno designato i propri fornitori come responsabili, anche se ciò non è previsto dalla normativa vigente. Questi casi sono stati discussi pochissimo in questi 20 anni ed è un peccato, visto che le filiere di fornitura sono sempre più lunghe.
L’ultima bozza di GDPR permette ai responsabili di “ingaggiare altri responsabili”, ma “tali responsabili devono sempre informare il titolare di ogni cambiamento relativo all’aggiunta o sostituzione di altri responsabili”. Pensiamo ad una PMI che usa dei servizi di telecomunicazione forniti da una grande azienda. In questi casi, la PMI dovrebbe essere aggiornata dalla grande azienda in merito ai suoi fornitori che possono accedere ai dati personali (fornitori di assistenza applicativa e hardware, consulenti, legali, ecc.).
Aggiungiamo anche il fatto che le grandi aziende possono avere tanti fornitori, con cambiamenti frequenti. Quando hanno tanti clienti, dovrebbero inviare loro gli aggiornamenti troppo di frequente. E se poi un cliente non accettasse?
Perché il GDPR non propone alternative, più in linea con i tempi? Nel mondo reale, i clienti più attenti chiedono al fornitore come intende trattare i dati personali, con quali finalità, con quali mezzi e quali misure di sicurezza e come intende assicurare che tali disposizioni siano adottate anche dai suoi subfornitori. Sulla base di quanto specificato dal fornitore, anche contrattualmente, il cliente stabilisce se ricorrere ai suoi servizi o meno. Ma chiedere ad un fornitore la lista dei suoi subfornitori è francamente eccessivo (oltre che pericoloso).
Purtroppo, queste considerazioni non sono state oggetto di dibattito in questi anni anche se tutti (o quasi) hanno trovato delle soluzioni certamente corrette da un punto di vista sostanziale, ma non dal punto di vista formale.
Dopo aver scritto (ma non pubblicato) questo articolo, un’altro molto simile è stato pubblicato: https://iapp.org/news/a/gdpr-killing-cloud-quickly/. Anche se è concentrato sul cloud, si osservi che le riflessioni sono facilmente estendibili ad ogni tipo di fornitore. Segnalo questa coincidenza perché, evidentemente, questo tema comincia ad essere analizzato.
Hai ragione. Avendo trascorso alcuni anni a tentare di gestire la nomina a Responsabili esterni di fornitori e subfornitori (con esiti diciamo… alterni), ho accolto come ottima notizia l’introduzione, al posto della nomina, di una relazione di tipo contrattuale (che quindi il fornitore non potrà più rifiutare). Avevo considerato con favore anche lo spostamento dell’onere di “nomina” del subfornitore in capo al fornitore, che è ovviamente in grado di imporre vincoli contrattuali. E’ anche normale che il cliente pretenda trasparenza sui subfornitori (alcune aziende lo prevedono, al di là della questione privacy). Certo, irrigidendo troppo la norma, si rischia di costringere da un lato i fornitori “di mezzo” a comunicazioni massive e ricorrenti a tutti i clienti, ogni volta che cambia un subfornitore (espondenosi anche al rischio si un rifiuto da parte di alcuni), dall’altro i clienti a subire uno spamming di notifiche ad ogni cambio. Però francamente non saprei come uscirne; forse adottando un accorgimento simile a quello per gli elenchi degli Amministratori di Sistema dei fornitori, per i quali si prevedeva inizialmente la consegna sistematica e poi si è optato per la tenuta a disposizione del cliente?
Ti ringrazio.
Mia opinione è che non sempre la trasparenza è un requisito necessario. Dipende. Certamente bisogna farsi dare chiare descrizioni dei meccanismi in atto per garantire la privacy e, eventualmente, fare qualche verifica o audit.
D’altra parte non chiediamo di leggere i test di sicurezza di un prodotto elettronico che acquistiamo; ci accontentiamo di leggere “CE” sul prodotto.
Non dico di fare esattamente lo stesso anche in ambito privacy, ma bisognerebbe anche non esagerare richiedendo misure di sicurezza troppo rigide quando non ce n’è bisogno.
Per quanto riguarda l’elenco degli AdS, non credo sia una buona idea far girare gli elenchi degli AdS che lavorano su certi sistemi. Credo sia anche per questa ragione che il Provvedimento fu modificato.