Criteri di valutazione e qualifica del fornitore che deve essere inquadrato come Responsabile del trattamento ai sensi del Gdpr
16th Marzo 2022La qualifica e la valutazione del fornitore – La qualifica di un fornitore, nel ruolo di potenziale Responsabile del trattamento, avviene in due step:
– qualifica inziale, prima della sottoscrizione del rapporto contrattuale: si valuta se la controparte fornisce quando richiede l’art. 28 par. 1) del GDPR “…ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato….”;
– qualifica dinamica, ad intervalli di tempo: si valuta se il fornitore, una volta che il rapporto è stato contrattualizzato, continua a fornire le garanzie richieste e adempie a quanto previsto contrattualmente.
Come misure di accountability è opportuno prevedere che:
– i criteri di qualifica, sia iniziale che dinamica, siano descritti in procedure afferenti al sistema di gestione integrato del Titolare;
– la documentazione a supporto della scelta effettuata dal Titolare sia conservata per dare riscontro a quando richiesto, ad esempio in sede di audit e/o di ispezione.
La messa in atto di tali misure di accountability serve a fornire un riscontro tangibile a quanto richiede il Regolamento UE 2016/679, nel sopraccitato articolo, laddove utilizza, in modo specifico, l’avverbio “unicamente”.
leggi l’intero articolo su federprivacy.org
