Criteri di valutazione dinamica del responsabile del trattamento
I Responsabili del trattamento devono essere oggetto non solo di una valutazione iniziale, come richiede l’articolo l’art. 28 par. 1) del GDPR ma anche di una valutazione delle loro performance e qualifiche nel corso del tempo; questo articolo tratta delle modalità attraverso le quali il Titolare del trattamento può effettuare quest’ultimo tipo di valutazione.
Aspetti generali della valutazione dei Responsabili del trattamento – Incaricando un “Responsabile del trattamento”, lo si autorizza a trattare una serie di dati che possono appartenere al Titolare o ad un Titolare diverso da quello che contrattualizza il rapporto con il Responsabile, configurandosi così il caso di affidamento ad un sub-Responsabile. Il Titolare deve quindi assicurarsi della capacità del suo fornitore di adempire a quanto previsto contrattualmente. Oltre alla valutazione iniziale, deve essere effettuata la valutazione cosiddetta “dinamica – ad intervalli”, che deve anche essere aggiornata ogni qualvolta si verifichi un evento, come ad esempio un data breach, che possa mettere in discussione la capacità del Responsabile di adempiere a quanto previsto.
Valutazione dinamica – ad intervalli – La valutazione dinamica ad intervalli viene effettuata dal Titolare con una frequenza, di norma, annuale. Tale misura è prevista da diversi standard, come ad esempio la UNI EN ISO 9001:2015 paragrafo 8.4, e la ISO/IEC 271001:2013 nei controlli A15 “Relazione con i fornitori” e si vedano anche i corrispondenti controlli da 5.19 a 5.22 della ISO/IEC 27002:2022. Per effettuare tale attività, il Titolare si può basare sui seguenti elementi:
– risultati dell’attività di audit seconda parte;
– richiesta di documentazione, come, ad esempio, i certificati di sistema di gestione/prodotto servizio e/o adesione a codici di condotta;
– risultati della ricerca su siti – ad esempio Accredia – di informazioni circa i certificati di sistema di gestione/prodotto servizio posseduti;
– capacità, documentata dal fornitore, di rispettare le misure tecniche organizzative e le istruzioni definite nell’atto di designazione del Responsabile;
– analisi delle procedure, tramesse dal Responsabile in versione aggiornata, quali data breach e quella/e previste per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative come richiede l’art. 32 par. 1d) del GDPR;
– aggiornamento delle informazioni, raccolte tramite questionari compilati dal Responsabile;
– aggiornamento delle competenze del personale (attestati/certificazioni);
– raccolta di altre evidenze di qualifica; ad esempio l’adesione al Codice CISPE “Codice di condotta per la protezione dei dati dei fornitori di servizi di infrastruttura cloud in Europa” – ringrazio S.A. per la segnalazione:
Valutazione a seguito di eventi – Oltre ad una valutazione dinamica ad intervalli, come sopra indicato, il Titolare dovrebbe rivalutare il proprio fornitore in occasione di eventi critici, che ne possono miniare o concorrere a minare la reputazione, quali:
– un data breach, che abbia coinvolto i dati che il Titolare ha fornito al Responsabile;
– un data breach che abbia interessato il Responsabile ma non necessariamente i dati forniti dal Titolare;
– risultati di audit da parte del Garante, o su mandato del Garante al Titolare, che abbiano rilevato criticità imputabili al Responsabile;
– provvedimenti formulati nei confronti del Responsabile;
– risultati di audit effettuati da terze parti al Titolare, che abbiano fatto emergere dubbi circa la presenza di criticità imputabili al Responsabile
Altri elementi critici possono essere i risultati di indicatori afferenti alla protezione dei dati monitorati ad intervalli – KPI – , che evidenzino delle criticità, oppure che, per quanto rientrino all’interno dei parametri concordati contrattualmente, il Titolare riscontri una deriva che mette in dubbio la capacità del Responsabile di far fronte agli impegni presi. Si immagini il caso in cui il Responsabile sia impegnato, sulla base di un contratto, a fornire il riscontro delle richieste del Titolare entro 24 ore, e che nell’arco degli ultimi quattro mesi tale indicatore abbia assunto il valore di 22 ore al primo mese, 22,5 al secondo, 22,8 al terzo, 24 al quarto mese; si tratta di valori sempre sotto il limite richiesto, ma che dimostrano una tendenza costante e progressiva al peggioramento. Anche in questo caso al Titolare è richiesto di intervenire prima che la situazione diventi critica.
Quali gli output della valutazione del Responsabile? – Alla luce di quanto sopra, la valutazione dinamica del fornitore fornisce delle preziose informazioni che devono essere riconsiderate dal Titolare per valutare/riconsiderare la capacità di rispettare l’atto di designazione. Questo non significa che un fornitore in presenza di eventuali criticità debba essere immediatamente sospeso, ma deve essere predisposta un’azione correttiva, supportata da un percorso di accompagnamento e di stretto monitoraggio, per riguadagnare la fiducia del Titolare.
Qualora tale modalità di intervento si rivelasse impraticabile, ovvero il fornitore dichiarasse di non voler adempiere nei tempi previsti a quanto richiesto, il Titolare deve, come richiede l’articolo 28 già citato, riconsiderare il rapporto con il suo fornitore.
La valutazione del Responsabile può considerare anche altri fattori significativamente impattanti sul fornitore, come ad esempio la cessione di ramo d’azienda o la chiusura di alcune attività/business. Tali elementi potrebbero richiedere di riconsiderare tutto l’iter di valutazione, a cominciare da quella inziale.
Conclusioni – Alla luce di quanto esposto, la valutazione dinamica del fornitore nel ruolo di Responsabile si dimostra di grande importanza; essa è, al pari della valutazione iniziale, una significativa misura di accountability; non può essere trascurata e deve essere supportata da procedure e documenti che oggettivino il processo, analogamente a quanto previsto per la valutazione iniziale, affinché si possa dar riscontro, in fase di ispezione, della capacità del Titolare di garantire quanto richiesto dal regolamento.
Articolo ripreso da: Federprivacy.org