Informativa Privacy fornitori GDPR

Come va gestito il Trattamento dei Dati personali?
Quali sono gli aspetti da non sottovalutare?

I fornitori che per poter eseguire il loro servizio trattano i dati personali dei loro clienti assumono, dal punto di vista privacy, la qualifica di Responsabili del trattamento dati.

Volendo esemplificare, si pensi al consulente del lavoro che per poter elaborare la busta paga necessita di tutti i dati personali dei dipendenti dell’impresa cliente, oppure alla struttura medica che esegue le valutazioni relative all’idoneità lavorativa in relazione ai dipendenti delle varie imprese che chiedono le sue prestazioni.

La nomina dei responsabili esterni del trattamento dati è quindi uno degli adempimenti più importanti per un corretto adempimento delle prescrizioni derivanti dal GDPR, al contempo però la corretta individuazione dei vari responsabili non è immediata e richiede di volta in volta puntuali valutazioni.

Non è infatti possibile considerare sommariamente ed in modo automatico Responsabili del trattamento tutti i fornitori, ma è necessario andare a vedere di volta in volta nel caso specifico quali dati dell’azienda cliente vengono trattati da quel soggetto esterno.

A tal proposito si pensi alla figura del commercialista, in relazione al quale si rende necessario andare a vedere nel caso specifico se l’azienda cliente si rivolge a quel professionista solo in relazioni al bilancio (e quindi trasmettendogli dati in forma aggregata), in questo caso non servirà la nomina; oppure se invece comunica tutti i dati “in chiaro” (compresi i dati dei singoli dipendenti), in questo caso lo studio commercialistico dovrà essere nominato responsabile del trattamento dati ai sensi dell’art. 28 del GDPR.

Quindi, mediante l’atto di nomina a responsabile del trattamento (ex art. 28 GDPR), il Titolare ha la possibilità di conferire specifiche istruzioni circa il trattamento dei dati personali che affida al Responsabile/fornitore, nonché il diritto a chiedere spiegazioni e a sapere quali tutele esso mette in campo per proteggere tali dati.

Considerato inoltre il fatto che si è appena concluso il primo anno di completa fatturazione elettronica, tra i soggetti protagonisti ci sono certamente i fornitori di software la cui valutazione circa l’individuazione dei ruoli e delle responsabilità nel trattamento dei dati ad essi affidati non è sempre agevole.

Con riferimento a quest’ultimi, possono verificarsi diversi scenari ed è pertanto necessario valutare caso per caso le diverse fattispecie, esaminando chi ha accesso ai dati, dove essi sono conservati e quali sono le misure di sicurezza adottate.

In conclusione, il consiglio rivolto alle imprese e alle realtà professionali è quello di non sottovalutare questo aspetto di compliance alla normativa estremamente importante, che può aiutare moltissimo il titolare in caso di cause e controversie, e rendere il trattamento dati lecito e pertinente; nonché proteggere seriamente l’attività professionale.

Non provvedere a queste nomine (si pensi al consulente del lavoro, all’avvocato, al medico del lavoro ecc.), porta a gravissime conseguenze sia in caso di controlli, ma ancora peggio in caso di cause e controversie, in quanto può far profilare l’illecito trattamento dei dati, con le conseguenze economiche e penali del caso.