PRIVACY - GLI OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO DEI DATI

PRIVACY – GLI OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO DEI DATI

L’EDPB ha adottato un parere su alcuni obblighi derivanti dall’affidamento del trattamento di dati personali, da parte di responsabili del trattamento, ad altri responsabili incaricati e sub incaricati (ovvero la c.d. privacy supply chain).

In particolare, il parere affronta diverse questioni sull’interpretazione di alcuni obblighi dei responsabili del trattamento che si affidano a incaricati del trattamento e sub responsabili, nonché sulla formulazione dei contratti tra responsabile del trattamento e incaricato del trattamento, derivanti in particolare dall’art. 28 del GDPR.

In base al parere EDPB sulla miglior gestione e controllo della privacy supply chain, in sintesi:

  • i responsabili del trattamento dovrebbero avere sempre a disposizione le informazioni sull’identità (ossia nome, indirizzo, persona da contattare) di tutti gli incaricati del trattamento e sub responsabili, in modo da poter adempiere al meglio agli obblighi previsti dall’art. 28 GDPR
  • l’obbligo del responsabile del trattamento di verificare se i sub responsabili del trattamento presentano “garanzie sufficienti” dovrebbe applicarsi indipendentemente dal rischio per i diritti e le libertà degli interessati, sebbene l’entità di tale verifica possa variare, in particolare sulla base dei rischi associati al trattamento
  • sebbene l’incaricato del trattamento iniziale debba assicurarsi di proporre sub responsabili con garanzie sufficienti, la decisione finale e la responsabilità di incaricare uno specifico sub incaricato, restano al responsabile del trattamento
  • il responsabile del trattamento non ha l’obbligo di richiedere sistematicamente i contratti di sub – trattamento, per verificare se gli obblighi di protezione dei dati siano stati trasferiti lungo la catena di trattamento: dovrebbe valutare se richiederli, al fine di esaminarli, qualora ciò sia necessario per poter dimostrare la conformità al GDPR
  • quando i trasferimenti di dati personali al di fuori dello Spazio economico europeo avvengono tra due sub responsabili del trattamento, l’incaricato del trattamento, in qualità di “esportatore” di dati, deve preparare la documentazione pertinente (relativa al motivo del trasferimento utilizzato, alla valutazione dell’impatto del trasferimento e alle eventuali misure supplementari): tuttavia, poiché il responsabile del trattamento è ancora soggetto ai doveri derivanti dall’art. 28 par. 1 del GDPR in materia di “trasferimento di dati”, oltre a quelli previsti dall’art. 44, per garantire che il livello di protezione dei dati non sia compromesso dai vari trasferimenti, deve altresì valutare questa documentazione ed essere in grado di mostrarla all’autorità competente per la protezione dei dati.

ACCEDI AL PARERE

Dicembre 2024

lunedìmartedìmercoledìgiovedìvenerdìsabatodomenica
25 Novembre 2024
26 Novembre 2024
27 Novembre 2024
28 Novembre 2024
29 Novembre 2024
30 Novembre 2024
1 Dicembre 2024
2 Dicembre 2024
3 Dicembre 2024
4 Dicembre 2024
5 Dicembre 2024
6 Dicembre 2024
7 Dicembre 2024
8 Dicembre 2024
9 Dicembre 2024
10 Dicembre 2024
11 Dicembre 2024
12 Dicembre 2024
13 Dicembre 2024
14 Dicembre 2024
15 Dicembre 2024
16 Dicembre 2024
17 Dicembre 2024
18 Dicembre 2024
19 Dicembre 2024
20 Dicembre 2024
21 Dicembre 2024
22 Dicembre 2024
23 Dicembre 2024
24 Dicembre 2024
25 Dicembre 2024
26 Dicembre 2024
27 Dicembre 2024
28 Dicembre 2024
29 Dicembre 2024
30 Dicembre 2024
31 Dicembre 2024
1 Gennaio 2025
2 Gennaio 2025
3 Gennaio 2025
4 Gennaio 2025
5 Gennaio 2025