Nel contesto della predisposizione dell’organigramma privacy (pilastro fondamentale delle misure di sicurezza organizzative di sicurezza), è necessario che l’intermediario (quale titolare autonomo) disciplini nei termini descritti dall’art. 28 del GDPR i rapporti con i soggetti che, per esempio, accedono ai dati dei clienti o del personale aziendale — nel contesto dell’esecuzione di un contratto e/o di un incarico professionale — che assumono il ruolo di responsabili del trattamento.
A titolo di esempio, si pensi alle software house/società operanti nel settore IT che concedono in licenza d’uso un software cloud all’intermediario per la gestione dei rapporti con la clientela o per la digitalizzazione dei processi HR oppure ai consulenti/professionisti esterni deputati alla predisposizione delle buste paga del personale.
È bene notare ulteriormente che l’intermediario dovrà avvalersi unicamente di responsabili che presentino garanzie sufficienti per l’attuazione di misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del GDPR. Per esempio, il distributore dovrà considerare le competenze tecniche in materia di misure di sicurezza e di violazione dei dati, il grado di affidabilità e le risorse di cui dispone il fornitore di servizi o il consulente esterno.
Al riguardo, si evidenzia, infine, come le “best practices” individuate dall’EDPB nelle Linee guida 07/2020 costituiscono una “bussola” essenziale per orientare le scelte di “accountability” dei titolari e disciplinare i rapporti e i profili di responsabilità con i “data processor”.
| P. IVA 02917600302 |