PRIVACY - GLI OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO DEI DATI

PRIVACY – GLI OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO DEI DATI

L’EDPB ha adottato un parere su alcuni obblighi derivanti dall’affidamento del trattamento di dati personali, da parte di responsabili del trattamento, ad altri responsabili incaricati e sub incaricati (ovvero la c.d. privacy supply chain).

In particolare, il parere affronta diverse questioni sull’interpretazione di alcuni obblighi dei responsabili del trattamento che si affidano a incaricati del trattamento e sub responsabili, nonché sulla formulazione dei contratti tra responsabile del trattamento e incaricato del trattamento, derivanti in particolare dall’art. 28 del GDPR.

In base al parere EDPB sulla miglior gestione e controllo della privacy supply chain, in sintesi:

  • i responsabili del trattamento dovrebbero avere sempre a disposizione le informazioni sull’identità (ossia nome, indirizzo, persona da contattare) di tutti gli incaricati del trattamento e sub responsabili, in modo da poter adempiere al meglio agli obblighi previsti dall’art. 28 GDPR
  • l’obbligo del responsabile del trattamento di verificare se i sub responsabili del trattamento presentano “garanzie sufficienti” dovrebbe applicarsi indipendentemente dal rischio per i diritti e le libertà degli interessati, sebbene l’entità di tale verifica possa variare, in particolare sulla base dei rischi associati al trattamento
  • sebbene l’incaricato del trattamento iniziale debba assicurarsi di proporre sub responsabili con garanzie sufficienti, la decisione finale e la responsabilità di incaricare uno specifico sub incaricato, restano al responsabile del trattamento
  • il responsabile del trattamento non ha l’obbligo di richiedere sistematicamente i contratti di sub – trattamento, per verificare se gli obblighi di protezione dei dati siano stati trasferiti lungo la catena di trattamento: dovrebbe valutare se richiederli, al fine di esaminarli, qualora ciò sia necessario per poter dimostrare la conformità al GDPR
  • quando i trasferimenti di dati personali al di fuori dello Spazio economico europeo avvengono tra due sub responsabili del trattamento, l’incaricato del trattamento, in qualità di “esportatore” di dati, deve preparare la documentazione pertinente (relativa al motivo del trasferimento utilizzato, alla valutazione dell’impatto del trasferimento e alle eventuali misure supplementari): tuttavia, poiché il responsabile del trattamento è ancora soggetto ai doveri derivanti dall’art. 28 par. 1 del GDPR in materia di “trasferimento di dati”, oltre a quelli previsti dall’art. 44, per garantire che il livello di protezione dei dati non sia compromesso dai vari trasferimenti, deve altresì valutare questa documentazione ed essere in grado di mostrarla all’autorità competente per la protezione dei dati.

ACCEDI AL PARERE

Novembre 2024

lunedìmartedìmercoledìgiovedìvenerdìsabatodomenica
28 Ottobre 2024
29 Ottobre 2024
30 Ottobre 2024
31 Ottobre 2024
1 Novembre 2024
2 Novembre 2024
3 Novembre 2024
4 Novembre 2024
5 Novembre 2024
6 Novembre 2024
7 Novembre 2024
8 Novembre 2024
9 Novembre 2024
10 Novembre 2024
11 Novembre 2024
12 Novembre 2024
13 Novembre 2024
14 Novembre 2024
15 Novembre 2024
16 Novembre 2024
17 Novembre 2024
18 Novembre 2024
19 Novembre 2024
20 Novembre 2024
21 Novembre 2024
22 Novembre 2024
23 Novembre 2024
24 Novembre 2024
25 Novembre 2024
26 Novembre 2024
27 Novembre 2024
28 Novembre 2024
29 Novembre 2024
30 Novembre 2024
1 Dicembre 2024