• Policy

Policy sulla selezione dei terzi fornitori da parte dell’organismo di monitoraggio

Sommario

1. Finalità e struttura della Policy

La presente policy (di seguito, la ‘Policy’) stabilisce le regole e le procedure applicabili alla selezione e alla gestione dei fornitori esterni da parte dell’Organismo di monitoraggio (di seguito, l’‘OdM’ o l’‘Organismo’) costituito, ai sensi dell’articolo 41 del Regolamento (UE) 2016/679 (di seguito, il ‘GDPR’ o il ‘Regolamento’), al fine di garantire il rispetto del ‘Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali’, adottato dall’Autorità Garante per la protezione dei dati personali con deliberazione del 12 giugno 2019 e da ultimo approvato con il provvedimento n. 181 del 29 aprile 2021 (di seguito, il ‘Codice di Condotta’), da parte dei Fornitori allo stesso aderenti.

Conformemente a quanto stabilito dall’art. 6 del Regolamento interno sul funzionamento dell’organismo di monitoraggio del ‘codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali’ (di seguito, il ‘Regolamento interno’), adottato in data 5 ottobre 2021, l’OdM ha ritenuto opportuno redigere il presente documento al fine di:

  1. definire quali azioni sia necessario intraprendere ogniqualvolta sia necessario avvalersi di fornitori esterni nell’espletamento delle funzioni e dei compiti attribuiti all’OdM;
  2. allocare correttamente i ruoli privacy e le derivanti responsabilità dei soggetti coinvolti;
  • dotarsi di uno strumento operativo che possa dimostrare la conformità continuativa al dettato normativo in materia di protezione dei dati personali.

La particolare attenzione che occorre prestare sin dalle prime fasi di instaurazione del rapporto contrattuale con una terza parte risulta direttamente collegata al compito fondamentale di monitoraggio e controllo attribuito all’OdM ai sensi del Codice di Condotta, con riferimento ai trattamenti di dati personali posti in essere nel settore delle informazioni commerciali da parte dei Fornitori aderenti.

La presente Policy offre, dunque, un primo strumento di verifica ed analisi utile ad affidare incarichi esterni solamente a collaboratori e/o terzi fornitori che assicurino esperienza ed affidabilità elevate per eseguire con puntualità e competenza le attività delegate, nel rispetto dei principi sanciti dalla normativa in materia di protezione dei dati personali e del Codice di Condotta.

In merito alla struttura della presente Policy, si evidenzia che verrà fornita, in via preliminare, una breve descrizione dei ruoli privacy che l’Organismo potrebbe rivestire ai sensi della normativa in materia di protezione dei dati personali. Successivamente, si forniranno degli strumenti per identificare il possibile ruolo dei Terzi Fornitori (come di seguito definiti) rispetto ai servizi esternalizzati che implichino un trattamento dei dati personali, conformemente al quadro normativo di riferimento. A seguire si introdurranno degli strumenti per garantire, su base continuativa, il mantenimento dei requisiti di garanzia e affidabilità previsti dal GDPR, dal Codice di Condotta, nonché dal Regolamento interno.

 

 

2. Ambito di applicazione della Policy

Il perimetro applicativo del presente documento deve essere definito sia in riferimento alla natura delle attività in esso disciplinate (ambito oggettivo), sia alle categorie di destinatari interessati (ambito soggettivo).

 

2.1 Ambito oggettivo

La presente Policy si applica al processo di selezione dei Terzi Fornitori cui l’Organismo può delegare lo svolgimento di una o più attività di controllo e monitoraggio di cui al Codice di Condotta, ad eccezione di quelle che determinano o presuppongono l’esercizio di poteri decisionali, quando dalle stesse derivi l’esigenza per i Terzi Fornitori selezionati ed appositamente incaricati di trattare dati personali per conto dell’OdM in conformità alla normativa in materia di protezione dei dati personali, con particolare ma non limitato riferimento al Codice di Condotta, oltre che al Regolamento interno.

 

2.2 Ambito soggettivo

I soggetti destinatari cui deve applicarsi la presente Policy sono:

  • i Componenti dell’Organismo, attuali e futuri, chiamati a selezionare e gestire i Terzi Fornitori come previsto dal Codice di Condotta e dal Regolamento interno;
  • il personale amministrativo, incluso il Segretario Generale, operante in favore dell’OdM, e presso la sede dell’Organismo, qualora coinvolto in una o più delle attività descritte nella presente Policy;
  • i Terzi Fornitori che, nell’espletamento dei compiti ad essi delegati da parte dell’OdM, trattino dati personali, in qualità di titolari o responsabili, ai sensi della vigente normativa in materia e del Codice di Condotta;

(di seguito, congiuntamente, i ‘Destinatari’).

 

 

3. Definizioni

Ai termini elencati di seguito, anche quando utilizzati senza la lettera maiuscola e/o declinati al plurale, dovrà attribuirsi il corrispondente significato:

  • Componenti: i cinque membri dell’Organismo designati secondo le regole dettate dal Codice di Condotta e dal Regolamento interno;
  • Committente: il soggetto privato o pubblico che richiede al Fornitore un servizio di informazione commerciale;
  • Contratto: si intende qualsiasi rapporto contrattuale concluso mediante atto formale e/o sottoscrizione di ordini di acquisto da parte dell’Organismo con Terzi Fornitori;
  • Dati sensibili o dati appartenenti a categorie particolari: dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona;
  • Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile. L’identificazione della persona fisica può avvenire sia direttamente (es. nome e cognome, indirizzo e-mail nominativo, codice fiscale) che indirettamente (es. indirizzi IP, IMEI cellulare, MAC Address), tramite dati quali: nome, un numero di identificazione, dati relativi all’ubicazione, elementi caratteristici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
  • DPA (Data Processing Agreement): l’accordo vincolante attraverso il quale vengono disciplinati, da parte del titolare del trattamento, gli obblighi e i compiti del responsabile relativi ad uno o più trattamenti collegati all’esecuzione di un Contratto da parte di un terzo Fornitore;
  • EDPB (European Data Protection Board): il Comitato Europeo per la Protezione dei Dati;
  • Fornitore: il soggetto privato aderente al Codice di Condotta che, in base all’articolo 134 del T.U.L.P.S. e s.m.i. e al D.M. n. 269/2010, svolge nei confronti di uno o più Committenti servizi di informazione commerciale;
  • Garante o Autorità: l’Autorità Garante per la protezione dei dati personali.
  • Organismo di Monitoraggio: l’organismo accreditato da parte del Garante ai sensi dell’art. 41 del GDPR e preposto al controllo della conformità alle disposizioni del Codice di Condotta da parte di tutti i fornitori ad esso aderenti. Il funzionamento dell’OdM è disciplinato dal Regolamento interno;
  • Responsabile del trattamento: la persona (fisica o giuridica), l’autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto e su istruzione scritta del titolare del trattamento;
  • Soggetto censito o Interessato: il soggetto cui si riferiscono il servizio di informazione commerciale o il rapporto informativo richiesti al Fornitore da parte del Committente;
  • Società esterne o Terzi Fornitori: qualsiasi soggetto terzo rispetto all’organizzazione dell’Organismo, dell’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (di seguito, ‘ANCIC’) o di un Fornitore, a cui venga affidato, mediante Contratto, da parte dell’OdM lo svolgimento di specifiche attività di controllo e verifica, ad eccezione di quelle che presuppongono o determinano l’esercizio di poteri decisionali;
  • Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri (in tale veste, definito ‘Contitolare del trattamento’), determina le finalità e i mezzi del trattamento dei dati personali;
  • Trattamento: qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione l’adattamento o la modifica, l’estrazione, la consulenza, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

I termini a cui l’art. 4 GDPR e/o l’art. 2 del Codice di Condotta, ma non la presente Policy, attribuiscono una specifica definizione, devono essere interpretati conformemente a quanto stabilito dal Regolamento e/o dal Codice di Condotta.

 

 

4. Fonti di riferimento

Oltre che sul Codice di Condotta e sul Regolamento interno, la presente Policy sono basate, inter alia, sulle seguenti fonti:

  • il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
  • il D.lgs. 30 giugno 2003, n. 196, recante il ‘Codice in materia di protezione dei dati personali’, come modificato ed integrato dal D.lgs. 10 agosto 2018, n. 101, recante ‘Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679’ (di seguito, il ‘Codice Privacy’);
  • le ‘Linee guida 4/2018 relative all’accreditamento degli organismi di certificazione a norma dell’articolo 43 del Regolamento generale sulla protezione dei dati’ adottate in via definitiva dall’EDPB il 4 giugno 2019;
  • le ‘Linee guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio a norma del Regolamento (UE) 2016/679’ adottate dall’EDPB il 4 giugno 2019;
  • il provvedimento n. 98 del 10 giugno 2020, con il quale il Garante, ai sensi dell’articolo 57, paragrafo 1, lettera p), del Regolamento, ha approvato i requisiti per l’accreditamento dell’OdM, tenendo conto delle osservazioni rese dall’EDPB nel parere adottato il 25 maggio 2020;
  • il provvedimento n. 59 dell’11 febbraio 2021, con il quale il Garante, ai sensi dell’articolo 57, paragrafo 1, lettera q) del Regolamento, all’esito dell’esame della richiesta di accreditamento e della relativa documentazione presentata da ANCIC il 17 dicembre 2020, ha accreditato l’OdM preposto alla verifica del rispetto del Codice di Condotta.

 

 

5. Il ruolo del Terzo Fornitore

Ai sensi dell’art. 4 del Regolamento, il Titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Il ‘Responsabile’, invece, indica una persona fisica o giuridica, un’autorità pubblica, agenzia o altro ente che tratta i dati personali esclusivamente per conto del Titolare. L’essenza di tale figura è quindi quella di un delegato che agisce quale longa manus operativa su incarico e nell’interesse del Titolare.

Sebbene le responsabilità di compliance siano primariamente attribuite al Titolare, la funzione esecutiva del Responsabile non mina la sua indipendenza nell’adempimento dei compiti specifici che gli sono assegnati da parte del Titolare. Il Responsabile può infatti godere di un considerevole grado di autonomia nel fornire i suoi servizi, potendo anche identificare taluni elementi non essenziali dell’operazione di trattamento, inclusi i dettagli dei mezzi operativi e tecnici del trattamento.

 

5.1 Qualificazione del Terzo Fornitore come Titolare

Fermo quanto sopra premesso, si comprende quindi che le terze parti che interagiscono con l’Organismo in relazione all’esecuzione di un determinato Contratto, potrebbero qualificarsi come Responsabili del trattamento. Ad ogni modo, in alcune limitate – e piuttosto rare –circostanze le terze parti potrebbero anche qualificarsi come Titolari autonomi del trattamento dei dati messi a disposizione da parte dell’OdM.

Tenuto conto di quanto specificato sopra, sono principalmente due le circostanze in cui un Terzo Fornitore potrebbe essere qualificato quale Titolare del trattamento:

  1. In primo luogo, quando in riferimento alle attività delegate da parte dell’OdM, il Terzo Fornitore sia nella condizione di poter assumere decisioni rilevanti circa le modalità ed i mezzi di esecuzione del trattamento in questione. Di norma, tale circostanza si verifica per due ragioni:
    • da un lato, a causa della natura dell’attività delegata, vale a dire quando la delega operata da parte dell’OdM presupponga, da parte del Terzo Fornitore, un grado discrezionale particolarmente incisivo sul fronte dei mezzi del trattamento;
    • dall’altra, qualora esistano delle norme nel sistema giuridico che attribuiscono a determinate categorie professionali vincoli o compiti specifici tali per cui queste figure si qualificano, ex lege, quali Titolari del trattamento (un es. tipico è quello dell’avvocato che offre servizi di consulenza giudiziale al cliente). In senso lato, rientrano in tale secondo gruppo anche quei casi in cui il ruolo privacy di un determinato fornitore coinvolto in specifiche attività di trattamento sia stato definito in via interpretativa dal Garante o dalle altre autorità di controllo europee (ad esempio, si veda il caso del consulente del lavoro – cfr. Risposta a un quesito relativo al ruolo del consulente del lavoro dopo la piena applicazione del Regolamento (UE) 679/2016 del 22 gennaio 2019 [doc web 9080970]);
  2. in secondo luogo, laddove il Responsabile del trattamento agisca oltre il perimetro del mandato conferito dal Titolare, in violazione del ‘DPA’ sottoscritto con quest’ultimo, potendo incorrere, se le circostanze lo prevedono, anche in possibili sanzioni. Se una simile situazione si determina, la classificazione automatica del Responsabile quale titolare dipenderà inter alia dalla portata della deviazione rispetto alle istruzioni ricevute (es. non è censurabile la condotta del Responsabile che non adempia ad una direttiva del Titolare solo per assicurare la conformità ai principi di protezione dei dati).

 

Esempio

Al Terzo Fornitore viene chiesto da parte delle autorità giudiziarie di esibire documenti dai quali si evince un trattamento di dati personali svolto per conto dell’Organismo. In tale caso, la messa a disposizione dei documenti (che si configura come comunicazione di dati personali dal responsabile ad un nuovo titolare del trattamento – appunto l’autorità giudiziaria) fa sì che il ruolo privacy del Terzo Fornitore cambi, diventando a sua volta, in automatico, titolare del trattamento dei dati personali comunicati la cui titolarità originaria è dell’OdM.

 

5.2 Scelta del Responsabile e rispetto del principio di accountability

Tenuto conto di quanto stabilito dall’articolo 28 del GDPR[1], il Titolare del trattamento deve valutare se le garanzie offerte dal Terzo Fornitore siano sufficienti, prima di procedere con quest’ultimo alla stipula dell’atto di nomina quale Responsabile del trattamento. Alla luce del principio di accountability, il Titolare deve infatti essere in grado di provare di aver tenuto in debita considerazione ogni elemento previsto dal GDPR.

D’altro canto, il Responsabile deve sempre essere in grado di dimostrare per tabulas di poter garantire l’implementazione di misure tecniche ed organizzative adeguate ad adempiere agli obblighi stabiliti dal GDPR.

A seguito della verifica dei requisiti, una volta individuato il Responsabile idoneo, è necessario redigere un Accordo contenente le istruzioni sulle attività di trattamento da sottoscrivere con il Responsabile.

 

1° FASE – Verifica dei requisiti 

Verificare il possesso da parte del Responsabile delle garanzie necessarie attraverso la richiesta e valutazione della documentazione privacy pertinente alle attività di trattamento.

2° FASE – Stipula dell’Accordo 

Definire le istruzioni specifiche relative alle operazioni di trattamento da delegare in un Accordo o altro atto giuridico vincolante (DPA), separato o allegato al Contratto.

 

Ai fini del rispetto del Regolamento, non risulta essenziale che la bozza di Accordo sia unilateralmente redatta da parte del Titolare (si prenda il caso di importanti fornitori di servizi digitali che, pur agendo come responsabili del trattamento, tendono a fornire set documentali in forma standard che includono anche i DPA). La parte proponente non è rilevante fintantoché risulti possibile per il Titolare esercitare il proprio potere decisionale attraverso la proposta di modifiche ed aggiustamenti del testo contrattuale. In tal senso, non risulterebbero accettabili modifiche unilaterali del DPA che non siano adeguatamente portate a conoscenza del Titolare e da questi esplicitamente accettate.

 

5.3 Checklist per la determinazione del ruolo privacy del Terzo Fornitore

Se la maggior parte delle risposte alle seguenti affermazioni è “SI”, il Terzo Fornitore è con tutta probabilità un responsabile del trattamento.

Se invece la valorizzazione dei campi propenderà per il “NO”, è probabile che il Terzo Fornitore agirà quale autonomo Titolare del trattamento.

Salvo casi eccezionali e al momento non prevedibili, non si ritiene che l’Organismo possa agire, congiuntamente ad un Terzo Fornitore, in qualità di Contitolare del trattamento.

 

 

6. Valutazione dei requisiti richiesti dal GDPR

Una volta definito il ruolo del Terzo Fornitore eventualmente coinvolto nell’operazione di trattamento ed appurato che lo stesso agirà quale Responsabile, occorre che l’Organismo verifichi – e sia quindi in grado di dimostrare in un secondo momento – la sussistenza delle garanzie indicate dall’art. 28, comma 1, del GDPR, al fine di definire il DPA tra l’OdM e il Responsabile del trattamento (cfr. paragrafo 5.2).

Resta inteso che, anche laddove il Terzo Fornitore agisse quale Titolare autonomo del trattamento, quest’ultimo dovrà assicurare di possedere una serie di requisiti, in linea con quanto disciplinato dall’art. 6 del Regolamento interno dell’OdM (si veda più avanti il paragrafo 7).

Nella scelta del Responsabile per una data operazione di trattamento rilevano, come sopra anticipato, diversi fattori. Tra questi, dovrebbero essere presi in considerazione dall’ OdM, al fine di valutare la sufficienza delle garanzie da parte del Responsabile:

  1. le conoscenze specialistiche, ad esempio l’expertise tecnologica con riguardo alle misure di sicurezza implementate a presidio dei dati da trattare per conto dell’Organismo, nonché, più in generale, di cui disporre in caso di verificazione di violazioni di dati personali (data breach) (ad es. accertata attraverso l’ottenimento della certificazione ISO 27001);
  2. l’affidabilità, ad es. attraverso la conduzione di privacy risk assessment specifici per le operazioni di trattamento che si intende delegare, la nomina di un DPO anche in assenza dell’obbligo ai sensi di legge, o anche report finali di eventuali audit privacy, di prima o terza parte, effettuati sui processi e sui sistemi utilizzati dal Responsabile;
  3. le risorse economiche (es. budget del DPO) e umane (es. l’organizzazione di training specifici o sessioni di formazione in materia di protezione dei dati personali a beneficio dei dipendenti) a disposizione per lo svolgimento delle operazioni di trattamento;
  4. la reputazione sul mercato, ivi inclusi eventuali procedimenti aperti innanzi all’autorità di controllo o all’autorità giudiziaria riguardanti possibili illeciti in materia di protezione dei dati;
  5. l’eventuale aderenza ad un codice di condotta (diverso da quello delle Informazioni Commerciali) ai sensi dell’articolo 40 del GDPR o a un meccanismo di certificazione a norma dell’art. 42 del Regolamento.

Inoltre, l’Organismo è chiamato a valutare se il Terzo Fornitore consente di esercitare un sufficiente grado di controllo, tenuto conto della natura, dell’ambito, del contesto e delle finalità del trattamento, nonché dei possibili rischi per gli Interessati. Nella prassi, potrebbe risultare complesso negoziare gli aspetti dell’Accordo con fornitori di servizi informatici operanti su scala globale. Anche nei casi in cui sia evidente uno squilibrio di potere negoziale tra le parti, tale circostanza non dovrebbe essere considerata una giustificazione per l’Organismo ad accettare clausole dell’Accordo che non siano in compliance con la normativa in materia di protezione dei dati, né tale disparità può condurre a una esautorazione degli obblighi dell’Organismo come deducibili dal Regolamento interno e dal GDPR[2].

Alla luce di ciò, la scelta di un Terzo Fornitore che sia in grado di dimostrare elevati livelli di compliance e che possa fornire prova documentale dell’implementazione di misure idonee agli obblighi imposti dal GDPR dovrebbe essere preferita ad altre meno data protection-oriented.

Per rispondere a tale esigenza, è stato redatta la Checklist per la selezione dei Terzi Fornitori contenente un elenco di adempimenti normativi in materia di protezione dei dati personali rispetto ai quali sono state individuate una o più misure che il Responsabile prescelto dovrebbe aver implementato. A tali controlli è inoltre attribuito un livello di presidio, utile a comprendere l’essenzialità della misura e, dunque, a valutare le attività da porre in essere in caso di relativa assenza (i controlli essenziali o, comunque, altamente raccomandati sono identificati con il livello 1, mentre i controlli riferibili ai livelli 2 descrivono tutele più avanzate).

Se si escludono i Terzi Fornitori che abbiano aderito ad un codice di condotta approvato ai sensi dell’articolo 40 del GDPR o a un meccanismo di certificazione approvato ai sensi dell’articolo 42 del Regolamento, circostanze considerate ex lege idonee a dimostrare le garanzie sufficienti richieste dall’articolo 28, comma 1, del GDPR, la Checklist può rappresentare un utile strumento di compliance da utilizzare durante le fasi di selezione dei potenziali Responsabili del trattamento.

A ciò si aggiunga che la verifica proposta mediante la Checklist potrebbe essere parimenti effettuata anche per valutare, su base continuativa, il mantenimento dei requisiti e la corretta implementazione delle garanzie sufficienti. Indipendentemente dalla durata dell’operazione di trattamento delegata al Terzo Fornitore, l’Organismo dovrebbe infatti assicurarsi che tali garanzie permangano per tutto il periodo in cui i dati personali sono oggetto di trattamento.

Risulta chiaro, però, che in caso di operazioni di trattamento effettuate per un limitato periodo di tempo, la verifica continuativa potrebbe essere superflua o non percorribile (ad esempio in caso di un evento organizzato dall’OdM, l’incarico del Terzo Fornitore in merito all’assistenza e alla gestione dei partecipanti in loco avrà un’estensione temporale piuttosto ridotta). Diversamente, nel caso in cui le attività affidate perdurassero per un lasso di tempo più lungo (si pensi, ad esempio, all’attribuzione della manutenzione del sistema informativo utilizzato per l’espletamento delle funzioni istituzionali ad una terza parte su base annuale), l’Organismo dovrebbe poter verificare – ed essere sempre in grado di dimostrare – il rispetto delle rilevanti disposizioni in connessione al trattamento dei dati personali degli Interessati per tutto il periodo di delega.

 

7. Valutazione dei requisiti richiesti dal Regolamento interno

A prescindere dalla qualifica del Terzo Fornitore quale Titolare o Responsabile del trattamento ai sensi del GDPR in connessione alle attività di controllo delegate da parte dell’OdM, il Terzo Fornitore è comunque tenuto ad uniformarsi a quanto previsto dal Regolamento interno, nonché dalle ulteriori Linee guida e/o Policy adottate da parte dell’OdM.

In particolare, conformemente a quanto indicato nell’art. 6 del Regolamento interno, il Terzo Fornitore dovrà:

  1. garantire esperienza ed affidabilità al fine di eseguire con puntualità e competenza le attività delegate, nel rispetto dei principi sanciti dalla normativa in materia di protezione dei dati personali e del Codice di Condotta;
  2. assumersi obblighi di indipendenza ed imparzialità, trasparenza operativa, assenza di conflitti di interesse e garantire esperienza e dimestichezza in materia di informazioni commerciali;
  • garantire la massima riservatezza riguardo alle notizie e/o alle informazioni di cui viene a conoscenza nel corso dell’esecuzione dell’incarico affidatogli da parte dell’Organismo;
  1. fornire annualmente un resoconto scritto di tutte le operazioni svolte in favore dell’OdM, se richiesto.

Al fine di vincolare adeguatamente il Terzo Fornitore al rispetto delle istruzioni e delle misure qui sopra identificate, i membri dell’OdM e/o il personale operante sotto l’autorità dello stesso dovranno inviare, prima di concludere le pratiche connesse all’affidamento dell’incarico – ossia prima della sottoscrizione del Contratto (e dell’eventuale accordo di nomina ex art. 28 GDPR) – e ricevere sottoscritta da parte del Terzo Fornitore, un’apposita Dichiarazione di accettazione.

 

 

8. Vigenza e modifiche alla presente Policy

La presente Policy è valida e vincolante per tutti i Destinatari.

Una copia del presente documento sarà messa a disposizione di ciascun Destinatario tramite Posta Elettronica Certificata e sarà pubblicata, sempre a cura del Segretario Generale, sul sito web dell’Organismo.

Questa Policy potrà essere modificata, integrata o integralmente sostituita in ogni momento, previa approvazione da parte dell’Organismo, per garantire i necessari adeguamenti a nuove norme di legge e/o a provvedimenti dell’Autorità, oltre che alle migliori best practices di settore.

Tutti i Destinatari sono tenuti a prenderne visione e a tenere in debita considerazione gli aggiornamenti che verranno apportati alle stesse, come di volta in volta notificati. Nessun Destinatario potrà giustificare la propria condotta adducendo la mancata conoscenza del presente documento.

[1] Articolo 28, comma 1, del Regolamento: “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

[2] Cfr. EDPB, Linee guida 7/2020, pp. 30-32.

nuove adesioni

Sei un’azienda?

Aderisci all’OdM per semplificare il tuo approccio in materia di Data Protection, minimizzando i tuoi rischi di compliance.

Scopri di più