Un interessante spunto di riflessione sul tema della scelta e della gestione del rapporto con i propri fornitori di tecnologia, prodotti e servizi arriva dalle considerazioni contenute nella newsletter n. 463 del 6 marzo 2020 dell’Autorità Garante privacy (doc. web. 9283047).
Tale comunicazione riporta il risultato di una collaborazione tra Autorità Garante e Consip, che prende spunto dall’intervento del Garante stessa nei confronti di un’azienda sanitaria, che aveva comunicato illecitamente dati sulla salute dei pazienti ad una società fornitrice di apparecchiature diagnostiche.
E’, infatti, prevista un’importante novità per le gare pubbliche nel settore sanitario. Nei nuovi bandi di gara riguardanti l’acquisto delle apparecchiature e dei dispositivi medici da parte delle strutture sanitarie pubbliche Consip inserirà:
– idonee misure a tutela dei dati trattati, come ad esempio l’impossibilità per il fornitore, che esegue un’attività di manutenzione a distanza dell’apparecchio, di accedere direttamente ai dati anagrafici dei pazienti presenti nelle immagini diagnostiche;
– clausole standard di contratto per l’inquadramento di default dell’aggiudicatario quale responsabile del trattamento.
Quanto accaduto, compresi i risultati ottenuti dalla collaborazione tra Autorità Garante e Consip, può essere considerato elemento di riflessione non solo in caso di processi legati all’aggiudicazione di forniture e servizi secondo le prassi del sistema pubblico, ma anche per le normali attività di scelta, valutazione e contrattualizzazione dei fornitori anche di imprese private, che acquistano servizi o beni strumentali alle attività aziendali attraverso i quali è possibile trattare dati personali.
Condividiamo alcune riflessioni che nascono dalle nostre esperienze professionali:
Sono rari i casi in cui nei processi di valutazione dei fornitori si procede anche ad una valutazione concreta degli stessi da un punto di vista “privacy”. Tipicamente un‘organizzazione effettua valutazioni preliminari:
– sulla sostenibilità economica dei servizi/beni da acquistare;
– sulla solidità finanziaria del fornitore per determinate tipologie di acquisti;
– sui tempi di consegna e di assistenza.
Raramente vengono effettuate valutazioni preliminari di egual tenore sulle garanzie che il fornitore assicura sotto il profilo della tutela dei dati personali oppure valutazioni volte a verificare che i beni/servizi acquistati assicurino il rispetto della normativa privacy.
Troppo spesso il DPO e/o il consulente o referente privacy aziendale viene coinvolto a giochi fatti e, in molti casi, esclusivamente con richieste legate ad una valutazione ex post di clausole privacy già sottoscritte ed affievolite all’interno di documenti contrattuali generali.
Questo approccio ha una serie di ripercussioni negative in ambito organizzativo, procedurale, tecnico, nonché sulle garanzie per i soggetti interessati, in quanto disattende diversi principi cardine le GDPR, tra i quali in primo luogo quello dell’”accountability”, in base al quale occorre essere in grado di dimostrare e garantire il rispetto dei principi previsti dal GDPR.
Tale principio si traduce in diverse azioni e processi interni all’organizzazione tra cui si ricordano:
– “data Protection by design” ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Queste azioni devono avvenire prima di procedere al trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso e sono caratterizzate da un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
– “data Protection by default” ossia la necessità che misure e presidi di sicurezza (tecnici, organizzativi, procedurali, operativi) siano applicati per impostazione preimpostata.
A questo punto, risulta evidente che l’introduzione della tematica privacy dopo aver scelto il fornitore ed aver sottoscritto contratti di servizio con lo stesso, non può essere un’azione che dimostra di aver adottato i principi della privacy by design e di conseguenza della privacy by default.
Tale disattenzione è fonte anche di problematiche nel rapporto con i fornitori ad esempio:
– impossibilità di adottare talune misure di sicurezza tecniche perché il sistema non lo permette o sarebbe troppo difficoltoso svilupparle (e non sono state valutate in fase pre-contrattuale);
– impossibilità di gestire adeguatamente richieste dei soggetti interessati;
– difficoltà nella gestione dei processi relativi a violazioni di dati personali;
– mancato coordinamento tra contratto di servizi e contratto di affidamento quale responsabile “ex art.28 GDPR”.
Inoltre, non va sottovalutata la circostanza che la mancanza di valutazione preventiva del fornitore e degli aspetti tecnici, operativi e riferiti alla sicurezza, rende difficoltoso anche effettuare un audit sul fornitore stesso e su quanto fornito/implementato.
In conclusione il suggerimento è quello di trarre dall’attività del Garante i seguenti insegnamenti ed indirizzi:
1) coinvolgere inizialmente il DPO o il consulente/referente privacy;
2) valutare preventivamente il tipo di bene/servizio di cui si necessita e definire i criteri tecnici, di sicurezza, operativi;
3) inserire nelle richieste di preventivo anche gli elementi privacy in un modo chiaro e concreto (es. dove vogliamo che i dati siano salvati, le caratteristiche di configurazione di un applicativo, la crittografia etc. etc.);
4) definire preventivamente il ruolo del fornitore quale Responsabile del trattamento (ovviamente ove ciò sia coerente);
5) verificare ex post che quanto richiesto sia effettivamente assicurato.
Marco Trombadore – Consulente Privacy e DPO
