DATA BREACH E RESPONSABILITA’

Sempre più spesso aziende di ogni dimensione si affidano a terzi per la gestione dei dati.

Sempre più spesso aziende di ogni dimensione si affidano a terzi per la gestione dei dati.

Si vedano ad esempio la società che affidano a terzi la gestione delle buste paga dei dipendenti dell′azienda cliente, o che affidano il salvataggio dei dati ad una società terza.

Cosa succederebbe in caso di data breach o violazione dei dati? Su chi ricadrebbe la responsabilità.

Molti pensano, erroneamente, che la responsabilità ricada su chi sta effettivamente gestendo e conservando il dato, teoria rinforzata anche dalla compilazione di contratti e SLA (service level agreement) più o meno strutturati.

A questo punto è indispensabile fare chiarezza tra “titolare del trattamento dei dati” e “responsabile del trattamento dei dati”.

Il titolare del trattamento dei dati personali è colui che stabilisce perché ed in che modo devono essere trattati i dati personali.

Per fare un esempio consideriamo un′azienda: se l′azienda stabilisce motivi e modalità del trattamento significa che è Titolare dello stesso.

L′azienda può anche essere contitolare del Trattamento ma in questo caso, tra i contitolari del Trattamento, andrà redatto un accordo definendo le rispettive responsabilità in tema di rispetto normativa GDPR. Il Titolare del Trattamento, inoltre ha anche la competenza per poter avviare una valutazione sull′impatto dei dati personali o in acronimo DPIA.

Il responsabile del trattamento è colui che tratta i dati personali per conto del Titolare del Trattamento.

Anche in questo caso, come per la contitolarità, gli obblighi del Responsabile del trattamento nei confronti del Titolare vanno specificati per iscritto tramite un contratto o scrittura privata.

Ad esempio, il contratto deve indicare cosa succede ai dati personali una volta che il contratto viene risolto. L′attività tipica dei Responsabili del trattamento è quella di offrire soluzioni a questi casi. Il Responsabile del trattamento può subappaltare una parte delle sue funzioni a un altro Responsabile del trattamento o nominare un co-responsabile ma solo previa autorizzazione scritta del Titolare del Trattamento.

Per fare un esempio concreto, immaginiamo che un′azienda Beta abbia molti dipendenti e che per gestire l′elaborazione delle buste paga per pagare gli stipendi decida di sottoscrivere un contratto con una società Alfa di gestione che si occupa proprio di questi servizi.

L′azienda Beta andrà a comunicare alla società Alfa tutto ciò che riguarda i propri dipendenti ovvero data di pagamento dello stipendio, quando un proprio dipendente lascia l′azienda, quando un dipendente ha un aumento di stipendio fornendo ecc.

La società Alfa fornisce un sistema informatico di elaborazione dati dei dipendenti e li conserva. Quindi l′azienda Beta sarà Titolare del trattamento e la società Alfa, addetta all′elaborazione delle buste paga è il Responsabile del Trattamento;

Il titolare del trattamento dei dati è quindi il responsabile del dato e la prima figura ad essere chiamata in causa a seguito di danno (data breach, alterazione o perdita dei dati ecc).

Tale responsabilità può essere scaricata al responsabile del trattamento, ai sensi dell′art. 82 comma 3 del GDPR, “se dimostra che l′evento dannoso non gli è in alcun modo imputabile”.

Questo significa che il soggetto ha la possibilità di fornire la prova di aver correttamente adempiuto agli obblighi derivanti dal Regolamento e di aver adottato le misure adeguate per la protezione dei dati, anche tramite contratti sottoposti al responsabile del trattamento riportanti standard di sicurezza richiesti particolarmente elevati.

Vuoi ulteriori informazioni? clicca qua e richiedi la tua consulenza gratuita.

Sapremo fornirti delucidazioni aggiuntive in merito alla responsabilità in caso di danno e quali tutele è possibile mettere in atto.