L’importanza dell’audit ai fornitori responsabili esterni
Nomini il responsabile del trattamento. Bene. E poi? Poi non finisce mica lì. Va fatto un audit dei fornitori.
Cos’è? Perché farlo? Quando farlo?
In questo articolo lasciamo perdere la nomina del responsabile esterno, il contratto e il controllo da fare prima di nominarlo, ma ci focalizziamo sul concetto di audit, di verifica, di gestione della catena delle responsabilità.
Audit sui fornitori: va fatto sì o no?
Andrea Chiozzi: Parliamo della gestione della filiera dei responsabili e dei sub-responsabili esterni e così via, cioè della gestione di chi tratta dati personali per conto del titolare. Diciamo subito che è un’attività che occupa del tempo e soprattutto va fatta con competenza e non con superficialità. Quindi non è che perché hanno firmato un qualsiasi contratto o fantomatica nomina a responsabile esterno, dopodiché siamo a posto così e non dobbiamo più fare niente.
Insieme all’Avvocato Frediani andiamo ad approfondire tutte le sfaccettature che un’azienda deve tenere presente – e che soprattutto un consulente deve tenere presente, quando aiuta l’azienda a gestire e a mantenere la compliance quotidianamente – e quali sono le attenzioni, le attività, su cui concentrarsi nella gestione dei responsabili esterni.
Prima domanda: che cappero è ‘sto audit? Siamo obbligati a farlo? Perché dobbiamo farlo? Alcuni dicono “Ma no, c’è già la nomina a responsabile, perché fare l’audit? Non serve…” Cerchiamo di inquadrare le righe del campo da calcio. Quali sono le regole base?
Avvocato Frediani: L’audit sui fornitori è una verifica che dobbiamo fare. È prevista espressamente dal GDPR. Quindi non sfuggiamo da questo punto di vista. L’articolo 28 ci dà tutta una serie di indicazioni relativamente al responsabile del trattamento, per cui ci deve essere una verifica da parte del titolare e quindi bisogna comunque impostare un controllo, che in genere si inquadra nell’annualità (ma che in realtà ha mille variabili). Comunque, il titolare del trattamento ha un obbligo di andare a vigilare su quello che è l’operato del responsabile. Quindi la nomina di per sé non è esaustiva rispetto a quella che è la ratio del Regolamento, che vuole una effettività e la effettività la porti a terra quando vai a verificare che quello che è stato impostato, realisticamente, venga realizzato.
Il mondo dei controlli sui fornitori – sui responsabili che partecipano a un trattamento alla sicurezza – è un maxi-mondo, nel senso che ci sono mille variabili a livello di criteri. Anche la stessa periodicità: per esempio, se ho una migrazione di migliaia di dati che viene fatta in un arco temporale definito, c’è chi si chiede “Ma lì devo comunque fare la verifica? L’audit lo devo andare a fare o non lo devo andare a fare?” Quindi, ci sono tante sfaccettature.
La ratio di questo tipo di verifica è che il titolare non si può sottrarre dal vigilare un soggetto che fa un trattamento diretto o che comunque rispetta un perimetro di sicurezza e che in qualche maniera potrebbe generare dei rischi per il trattamento dei dati.
Ti aggiungo anche un altro pezzettino. Ho partecipato a una riunione con diverse aziende che sono responsabili per gli enti pubblici e che mi hanno detto questo: “Noi abbiamo migliaia di fornitori – e quindi di subfornitori rispetto al titolare – e non è che annualmente possiamo andare a fare le verifiche a tutti. Li scegliamo a campione.”
In realtà la ratio del Regolamento è andare a fare queste verifiche, proporzionate a quello che è il rischio, ma su tutti i responsabili.
Un problema di accountability e di mentalità
Andrea Chiozzi: Secondo me viene sottostimato il concetto di accountability e vigilanza. Io devo avere la percezione di chi tratta i miei dati, come li tratta e perché. E questo va bene. Ma devo anche sapere se sta continuando a trattarli nelle modalità indicate. Quindi è un concetto di vigilanza alla 231, più che alla ISO, se vogliamo fare un parallelismo. E questo concetto di vigilanza secondo me non è ancora passato. Tu che percezione hai?
Avvocato Frediani: È entrato da un punto di vista di criteri e metodologie nelle aziende che hanno il tema della compliance, che ci hanno già giocato e che ci stanno già giocando: chi ha l’organismo di vigilanza, quindi le realtà veramente strutturate. Anche se questo tipo di verifica non è discriminatorio tra le grandi, le piccole o le medie, perché è un tema che riguarda tutti indistintamente, in maniera proporzionata.
Ma le medie e le piccole hanno grandi difficoltà.
Prima di tutto di mentalità, perché non sono abituate a fare i conti in tasca e a fare i controlli ai loro responsabili e ai loro fornitori. Poi a volte anche di risorse, di tempo e c’è un problema cruciale: tu vai a fare l’audit al tuo responsabile, ma se non era presente niente contrattualmente?
E se nel contratto non c’è scritto che è previsto un audit?
Andrea Chiozzi: Prendiamo il caso che io abbia un responsabile esterno. Sono stato bravo. Sono riuscito a definirlo ai sensi dell’articolo 28 e l’ho definito o con una nomina o perché c’è un contratto che determina le modalità in cui lui va a operare sul trattamento dei miei dati personali. Se nel contratto – nella nomina è più facile che ci sia – non c’è nessuna indicazione sulla possibilità che io, come titolare, possa fare una verifica, una sorveglianza, un audit su di te responsabile, che cosa succede? Posso farlo lo stesso? Mi posso imporre? Dal punto di vista contrattuale mi possono chiedere dei soldi?
Avvocato Frediani: A mia interpretazione, essendo un obbligo di legge indicato nel GDPR, se non l’ho inserito contrattualmente il problema non è quello di non averlo inserito, a me preoccupa molto di più il non averlo disciplinato. Perché, se anche non l’ho inserito e il GDPR lo prevede – c’è un obbligo di verifica – io lo devo fare. Poi si apriranno degli scenari il fornitore potrebbe anche dire “Cara azienda x, però tu mi vai a pagare per quello che può essere l’impegno di tempo, tecnici, risorse per fare l’audit”.
E il non averlo disciplinato – non solo quando e come avverrà e la modalità in cui verrà fatto l’audit – non è l’unico problema, ma c’è anche un problema di remediation perché, da quell’audit, potranno venire fuori delle problematiche che, se non sono state disciplinate preventivamente, potrebbero dare delle conseguenze infauste.
Un conto è fare un audit obbligatorio per legge, non previsto contrattualmente, da cui vengono fuori delle difformità, che non sono difformità direttamente su misure esplicitate nella nomina – per cui c’è un’evidenza – ma difformità indirette, collegate a una accountability. Si può arrivare a risolvere il contratto. Poi chi si accolla i costi?
Andrea Chiozzi: Quindi, se è disciplinato dal contratto so come gestire la cosa e come seguire le mollichine di pane per riuscire ad arrivare all’uscita. Se non è disciplinato può succedere un po’ di tutto…
Avvocato Frediani: Può succedere di tutto anche in una gradualità. Intanto, se non lo hai previsto contrattualmente, vai a rompere un rapporto fiduciario col tuo fornitore, perché, comunque, qualsiasi fornitore che, di punto in bianco, senza esserne stato preventivamente notiziato con assunzione di obblighi nel contratto, si trova a dover “subire” un audit, come potrebbe prenderla? In qualche maniera intervieni in un rapporto… In più, nelle grandi realtà, può essere scomodo non solo verso il fornitore stesso ma magari anche verso l’interlocutore interno.
Quindi a volte può essere anche un problema nella gestione dei rapporti.
Se non è disciplinato contrattualmente, il fornitore potrebbe chiederti di essere pagato
Avvocato Frediani: Poi c’è un altro aspetto: che tipo di audit fare? Perché ci sono audit che durano un’ora, audit con questionari, audit che durano giornate, con degli impegni specifici. Quindi l’audit ha un costo anche dal punto di vista del fornitore (del responsabile). E il responsabile potrebbe dirti “Ok, è un obbligo di legge, ma non è che io debba pagare per le ore di lavoro dei miei tecnici e dei soggetti che vengono impiegati per fare le verifiche, quindi a seconda di quanto lo vuoi dilatare e a seconda del livello in cui vogliamo andare, mi paghi.”
Ti faccio l’esempio di un nostro cliente: gestione dei dati del personale svolta dal consulente del lavoro tramite un applicativo per le paghe di un’azienda, che a livello nazionale è molto conosciuta. Per fare un audit e interrogare il sistema, sono stati chiesti dei soldi al titolare del trattamento, perché il gestore del sistema doveva impiegare dei tecnici, fare una serie di domande e interrogazioni. Non essendo stato previsto contrattualmente, per lui è un tot di ore. E il tot di ore se lo fa pagare.
Ha ragione?
Sì! Perché non può dirti di no – dato che l’obbligo di legge sul fare l’audit c’è – ma se non lo hai stabilito preventivamente, il fornitore può chiedere di essere pagato per il lavoro.
Ci sono anche grandi fornitori come Microsoft che forniscono i risultati degli audit che si fanno in casa e delle verifiche che hanno standardizzato. Io non lo trovo regolarissimo, ma è già una pezza d’appoggio in accountability.
Andrea Chiozzi: È già un passo avanti. Riconosco uno sforzo molto grosso in Microsoft, a differenza di altri carrier internazionali, nel cercare di dare agli europei gli strumenti per continuare a utilizzare i loro servizi in un certo modo. Non ti permetto di fare l’audit direttamente, ma visto che hai un obbligo di sorvegliarmi e visto che io sono ISO di qua, super di là, CEP di su, CIOP di giù… ti rendo evidenti i risultati degli audit già fatti che in teoria potrebbero anche essere quanto meno sufficienti per verificare la mia compliance.
Fonte originale e ufficiale: PrivacyLab