Esternalizzazione dei trattamenti e controllo della filiera: spunti di riflessione
L’affidamento all’esterno di trattamenti di dati personali genera una ‘filiera’ di attività più o meno complessa in relazione al numero dei soggetti partecipanti (responsabili e sub-responsabili del trattamento) e alla sua estensione geografica (tanto più se tale estensione implica trasferimenti di dati oltre i confini dell’UE).
I casi “B&T-Dorelan” e “Enel Energia” (affrontati dal nostro garante) e “Google analytics vs. DSB” (su cui si è pronunciato il Garante austriaco) ci raccontano di situazioni che danno luogo a filiere di trattamenti la cui compliance alla disciplina del trattamento dei dati personali – quale che sia la loro complessità – ricade comunque sotto la “responsabilità generale” del titolare del trattamento. Nella prospettiva dei Garanti, dunque, l’esternalizzazione dei trattamenti implica il controllo della filiera da essa generata, che va implementato attraverso misure tecniche (es., misure di privacy by design) e organizzative (modelli organizzativi).
L’assenza del controllo, come si desume dai casi “B&T-Dorelan” e “Enel Energia”, ha ricadute sugli interessati con riguardo:
– alle informazioni che questi dovrebbero ricevere ai sensi degli artt. 13 e 14 del GDPR; – all’azionabilità dei loro diritti previsti agli artt. 15-22 del GDPR; – alle violazioni dei loro dati (data breach) che potrebbero verificarsi lungo la filiera.Tali ricadute configurano altrettante violazioni della disciplina del trattamento che il Garante ha contestato a EE ed a B&T nei rispettivi procedimenti, non valendo la dichiarazione di EE dell’impossibilità del controllo di soggetti che si inseriscono abusivamente nella propria filiera dei trattamenti né, tanto meno, quella di B&T di ritenersi estranea al ruolo di titolare del trattamento.
L’evento, organizzato da Digital & Law, si svolgerà in diretta su DIGEAT PLUS, previa iscrizione alla piattaforma.
Modera:
Avv. Andrea Lisi – Presidente di ANORC Professioni, Titolare Studio Legale Lisi, ed esperto in diritto dell’informatica e privacy
Interviene:
Prof. Giovanni Crea – Docente presso Università Europea di Roma e Direttore scientifico CReFIS, Centro di Ricerca e Formazione Integrata, Selefor