La selezione fornitori ai tempi del GDPR

CONDIVIDI L’ARTICOLO

Condividi su facebook
Condividi su twitter
Condividi su linkedin
Preview_blog_Privacy fornitori

Le sfide di CISO e DPO - 3 MIN. DI LETTURA

Aggiornato: Marzo 2022
Valentina Zecchi

DPO

1) Lo scouting dei fornitori integrato con la privacy e la security

Già da tempo, scegliere un fornitore non significa più soltanto fare una valutazione sulla sua affidabilità, competenza e competitività, ma, ove il fornitore sia inquadrato come Responsabile del trattamento, occorre anche accertarsi che lo stesso garantisca il rispetto della normativa privacy applicabile.

A norma dell’art. 28, par. 1, GDPR, infatti, si deve ricorrere “unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

Pertanto, l’attività discouting” del fornitore deve includere anche una fase preliminare finalizzata alla verifica del livello di compliance privacy (e quindi anche security) del fornitore stesso.

Tale verifica preliminare non è sufficiente per proseguire nel tempo la collaborazione: occorre, infatti, ad intervalli di tempo (in genere, almeno una volta l’anno) o quando vi siano dei mutamenti normativi/giurisprudenziali o potenziali rischi privacy, valutare se il fornitore continui a fornire le garanzie richieste e adempia a quanto previsto contrattualmente.

I criteri di audit possono essere: normativi (come: GDPR, Codice Privacy, standard internazionali; ecc.); contrattuali (ad esempio, impegni assunti dal fornitore e/o con i clienti finali); procedurali (ad esempio, la procedura di data breach dell’auditato).

Quanto alle modalità, tali verifiche possono essere documentali, tramite la compilazione di questionari, on site (presso gli uffici del fornitore) o da remoto.

2) Hot topics

Gli sviluppi normativi, giurisprudenziali e, perfino, l’attualità hanno un impatto notevole anche sugli audit privacy.

Ad esempio, dopo la sentenza Schrems II della Corte di Giustizia Europea del 16 luglio 2020, un tema bollente è quello dei trasferimenti di dati personali verso gli USA.

La sentenza, invero, invalidando il Privacy Shield, di fatto, mette in discussione tutti quei Responsabili stabiliti negli Stati Uniti, tant’è che anche big come Facebook (Meta) hanno recentemente accennato al fatto che potrebbero chiudere alcuni loro servizi in Unione Europea. Neppure la conservazione dei dati personali in data center situati in UE potrebbe, infatti, assicurare i dati personali dei cittadini europei da richieste di accesso da parte del governo americano.

I numerosi attacchi hacker, anche ad istituzione governative, dopo l’invasione dell’Ucraina, sono, invece, un esempio concreto di come l’attualità incida anche sulla valutazione dei fornitori. A seguito di tali episodi, è emersa l’esigenza di assicurarsi che i fornitori siano pronti a mitigare i potenziali rischi cyber rinvenienti.

3) Sanzioni

Il mancato rispetto delle norme del GDPR, oltre a conseguenze sul fronte contrattuale, nel caso in cui ciò si traduca in una violazione di impegni assunti nei confronti del Titolare del Trattamento, può condurre a sanzioni amministrative.

Così, ad esempio, la selezione di fornitori che non presentano garanzie adeguate e la mancata sottoscrizione del DPA (Data Processing Agreement), in quanto violazioni dell’art. 28 GDPR, possono comportare sanzioni sino a 10 milioni di euro o pari al 2 per cento del fatturato annuo.

Ancora, le violazioni delle norme sui trasferimenti di dati personali (artt. 44-49 GDPR) comportano l’applicazione della categoria di sanzioni più gravosa, fino a 20 milioni di euro o pari al 4 per cento del fatturato annuo.

Per citare un caso concreto, lo scorso settembre il Garante per la protezione dei dati personali italiano ha comminato a una nota Università italiana una sanzione di euro 200.000,00, per essersi avvalsa di un Responsabile con sede negli USA e perché il trasferimento basato sul Privacy Shield, poi sostituito dalle Standard Contractual Clauses, in assenza di misure aggiuntive, doveva ritenersi invalido.

CONDIVIDI L’ARTICOLO

Condividi su facebook
Condividi su twitter
Condividi su linkedin

SCOPRI

Altri articoli
popolari.

Filtri sui contatti più friendly

Roadmap

Filtri sui contatti più friendly

Abbiamo cambiato l'aspetto dei filtri, in particolare i filtri sulle liste di contatti. I filtri sono strutturati secondo "livelli discendenti", ad albero. Quando si fa un filtro su un campo o un'informazione statistica con molti livelli, è indispensabile ricordare il percorso fatto per raggiungere il filtro. Ora questi li vedi visualizzati subito sopra al filtro finale scelto. 

2 MIN. LETTURA

magnews

Digital Marketing Platform

Una sola app per 2 nuovi canali: WhatsApp e Telegram

Roadmap

Una sola app per 2 nuovi canali: WhatsApp e Telegram

Con il connettore MessengerPeople puoi gestire i canali WhatsApp for business e Telegram. Con la nuova versione dell'app MessengerPeople puoi inviare notifiche e reminder ai tuoi contatti, direttamente dalla piattaforma. Leggi l'articolo completo!

3 MIN. LETTURA

magnews

Digital Marketing Platform

Consolidato e potenziato il report obiettivi di conversione

Roadmap

Consolidato e potenziato il report obiettivi di conversione

Nell'ottica del miglioramento continuo, raccogliamo i vostri suggerimenti e i feedback per migliorare e rendere sempre più efficace quanto abbiamo fatto finora. Il report dell'obiettivo di conversione riportava già molte informazioni sulle conversioni, sugli asset che hanno portato alle conversioni e anche statistiche, oltre che sul valore, sui parametri.

2 MIN. LETTURA

magnews

Digital Marketing Platform

Email size in 5g era

Mondo nerd

Email size in 5g era

Quando parliamo di dimensioni in una email, stiamo in realtà parlando di 3 cose: le dimensioni del file HTML inviato, le dimensioni degli oggetti esterni - perlopiù immagini - e infine il suo peso complessivo. Email pesanti richiedono un tempo maggiore per un rendering completo, e può essere un problema considerando che più della metà degli utenti elimina una email entro due secondi dall'apertura. Leggi l'articolo completo!

6 MIN. LETTURA

Andrea Valletta

Head of Customer Success

Mail Sicure, Mail Certificate

Ingegneri prestati al marketing

Mail Sicure, Mail Certificate

Un computer spento, per quanto sicuro, è certamente poco utile alle finalità di Marketing e di Business di ogni azienda. In questo articolo voglio quindi raccontarvi due funzionalità di magnews non troppo conosciute, ma certamente fondamentali nell'ambito della email Security e email Certification.

5 MIN. LETTURA

Andrea Zagnoli

Chief Customer Officer

DATA IS KING? OH YES!

Il mondo di magnews

DATA IS KING? OH YES!

Le migliori strategie per individuare, raccogliere, gestire ed analizzare i dati, protagonisti indiscussi per ogni azione di marketing. E come i dati possono diventare i nostri migliori alleati nel business.

5 MIN. LETTURA

magnews

Digital Marketing Platform

Diventa Partner!

Creare una relazione tra le aziende e i consumatori che possa generare valore di business per entrambi in una esperienza di successo.

Stiamo creando una community che vogliamo far crescere assieme per costruire una collaborazione sempre più di valore.

Partner Program, la soluzione di magnews che consente di diventare parte di un vero knowledge hub, progettato per favorire la crescita di competenze e business.

  • Ho letto e compreso la Privacy Policy e accetto integralmente i Termini d'Uso.

Raggiungi i tuoi obiettivi di business

Scrivi ad un nostro consulente oppure richiedi una demo gratuitamente!

Richiedi una demo Scrivi ad un consulente

No grazie