I responsabili del trattamento devono essere adeguatamente selezionati, per fornire sufficienti garanzie circa il loro operato.
Le garanzie devono essere, per quanto possibile, oggetto di verifica, considerando anche i rapporti di forza tra Titolare e Responsabile. L’audit è uno degli strumenti possibili per avere tale evidenza. Inoltre, ai Responsabili possono essere richiesti, da parte del Titolare, documenti afferenti le attività di quest’ultimo. Alla regolamentazione di questi temi, all’interno dei documenti che disciplinano il rapporto tra Titolare e Responsabile è dedicato l’articolo.
L’atto di designazione
I rapporti tra Titolare e Responsabile sono definiti a monte, nella documentazione contrattuale tra le parti o eventualmente in un documento specifico, l’“atto di designazione”.
Disporre di tali documenti in versione completa permette di ridurre possibili controversie ed anticipare aspetti che è opportuno siano verificati prima della sottoscrizione del contratto di servizio.
Un esempio di estratto di atto di designazione al Responsabile, in relazione all’accesso alle informazioni e attività di audit – Quello di seguito proposto “Accesso alle informazioni e attività di audit” è un estratto di un atto di designazione a Responsabile; nello specifico, tratta dei soli aspetti afferenti all’accesso alle informazioni da parte del Titolare e delle attività di audit che quest’ultimo si riserva di effettuare. Si tratta di un contenuto articolato che di volta in volta può essere ridotto/adattato a seconda delle circostanze.
Ovviamente i contenuti proposti potrebbero essere, come precedentemente indicato, parte integrante del contratto che comprende anche l’atto di designazione; tale soluzione risulterebbe a tutto gli effetti più corretta.
Accesso alle informazioni e attività di audit
Il seguente paragrafo dell’atto di “designazione/contratto” definisce le misure poste dal Titolare per garantire che quest’ultimo possa esercitare, limitatamente ai trattamenti che il Responsabile esegue per suo conto, i seguenti diritti:
- Accesso alle informazioni
- Attività di audit
Accesso alle informazioni
Il Responsabile del trattamento deve comunicare, su richiesta, al Titolare tutte le informazioni richieste volte a dimostrare il rispetto della normativa applicabile e di quanto previsto dall’atto di designazione/contratto.
Tali informazioni possono essere richieste da …(indicare la funzione, designata dal titolare, autorizzata a richiederle)
Potrebbero essere definiti i canali attraverso i quali la funzione del titolare richiede informazioni (es. posta tradizionale, Pec) e i tempi entro i quali il responsabile deve fornire le informazioni richieste
Le informazioni possono riguardare: le operazioni di trattamento, i rischi e le misure di mitigazione intraprese dal Responsabile in relazione sia ai trattamenti effettuati sia ai documenti afferenti al presente “Contratto/atto di designazione”, nonché le polizze assicurative come richieste all’Art…. del “Contratto/atto di designazione”. Per quest’ ultimo documento la funzione autorizzata dal Titolare può richiedere anche informazioni in merito al luogo di conservazione della versione cartacea (con firma olografa), che elettronica (con firma digitale).
Oltre alle informazioni che il Titolare può richiedere al Responsabile, quest’ultimo dovrà comunicare spontaneamente, sempre alla funzione di cui sopra, nel più breve tempo possibile e comunque non oltre 24 ore da quando ne è venuto a conoscenza e/o dispone di tali documenti, informazioni e/o documenti relativi a:
- richieste di ispezioni da parte del Garante o di soggetti da questo delegati, afferenti ai trattamenti eseguiti per conto del Titolare ed i relativi verbali;
- richieste di ispezioni da parte delle Autorità Giudiziarie e/o Organi di vigilanza, afferenti ai trattamenti eseguiti per conto del Titolare ed i relativi verbali;
- richieste di informazioni da parte del Garante o delle Autorità Giudiziarie e/o Organi di vigilanza;
- contestazioni o reclami da parte di interessati al trattamento o soggetti terzi comunque coinvolti nelle attività di trattamento;
- attività che coinvolgono i Sub-Responsabili designati dal Responsabile, come ad esempio verbali di audit che il Responsabile effettua sui trattamenti svolti da Sub-reponsabile;
- ogni altra informazione che impatta sui dati che il Responsabile tratta per conto del Titolare e sulle misure tecniche e organizzative che mette in campo.
Attività di audit
Il Responsabile supporta il Titolare, su richiesta di quest’ultimo o di un soggetto da lui incaricato, per la pianificazione ed esecuzione di audit di 2^ parte (così come definito dalla linea Guida UNI EN ISO 19011:2018 “Linee guida per audit di sistemi di gestione”).
Il soggetto incaricato per l’esecuzione delle attività di audit può essere interno o esterno alla struttura del Titolare.
Le attività di audit saranno comunicate con un preavviso minimo di cinque giorni lavorativi; tre giorni, nel caso di un evento di data breach che ha coinvolto i dati trattati per conto del Titolare. Una volta concordata la data di audit il Responsabile del trattamento potrà richiederne una variazione solo per motivi gravi ed indifferibili.
Opzionale: Su richiesta del Responsabile sarà fornito il Curriculum del Responsabile del gruppo e degli eventuali membri del Team di audit.
Il Responsabile del Team di audit potrà richiedere al Responsabile l’accesso alla documentazione (procedure, registro/i analisi dei rischi, ecc.) afferenti ai dati trattati dal Responsabile per sconto del Titolare.
Entro 3 giorni dalla data dell’audit, o 1 giorno, nel caso di data breach, il Responsabile del Team di audit invierà il piano di audit.
A meno che non sia concordato in modo differente, le attività di audit si svolgeranno in lingua…(specificare se il responsabile deve rendere disponibile eventuale traduttore).
Gli aspetti relativi alla trasferta saranno a cura del Responsabile del Team di audit.
Nel corso dell’audit saranno richieste evidenze riconducibili esclusivamente ai trattamenti che il Responsabile effettua per conto del Titolare.
Le risultanze dell’audit, sotto forma di Conformità/Non Conformità, saranno comunicate in forma verbale nel corso della riunione finale; per le Non Conformità verrà richiesta, su un modulo ad hoc, la formale accettazione da parte del Responsabile.
Entro una settimana dalla chiusura dell’audit il Responsabile del Team di audit invierà un rapporto contenente anche le risultanze.
Le eventuali risultanze dell’audit, sotto forma di Non Conformità, dovranno essere trattate dal Responsabile nei tempi indicati nel rapporto di audit, pena la sospensione delle attività/risoluzione del contratto.
Oltre al trattamento delle Non Conformità, il Responsabile deve anche definire le azioni correttive volte a rimuovere le cause all’origine delle Non Conformità individuate. Le azioni poste in essere per trattare le Non Conformità e le Azioni correttive devono essere inviate al Titolare per approvazione, ed esse saranno oggetto di successivi audit o di richiesta di documentazione/integrazione. (Potrebbero essere considerate casistiche per cui il titolare si riserva di interrompere la fornitura nel caso di non conformità gravi; in questo caso nel documento vanno indicati i criteri per assegnare il livello di gravità di una non conformità).
Durante tutto l’audit il Responsabile deve rendere disponibile una funzione qualificata per seguire i membri del Team di audit. (Misure simili potrebbero essere richieste anche nei riguardi dei sub-responsabili).
Conclusioni
In sintesi, i documenti integrativi dell’atto di designazione/contratto al Responsabile del Trattamento che riguardano l’accesso ai documenti e l’attività di audit, possono presentare un’articolazione piuttosto ampia. Di norma, il paragrafo dedicato a questo aspetto è molto conciso, a significare che il Titolare considera piuttosto remota la possibilità di richiedere documento e/o di svolgere audit; ciò però non toglie che sarebbe opportuno valutare una declinazione più ampia, come per esempio quella proposta in questo articolo, al fine di dare al Titolare gli strumenti per valutare l’operato del Responsabile e chiarire una serie di aspetti già a livello contrattuale.
Fonte : FederPrivacy