Linea Guida – La valutazione degli impatti del GDPR nelle clausole contrattuali dei fornitori
Descrizione
Il Regolamento Europeo n° 679/2016, meglio conosciuto come GDPR, impone che, nei rapporti contrattuali in cui il fornitore si incarica di svolgere attività che comportano il trattamento di dati personali, debbano essere recepiti una serie di contenuti meglio specificati nell’art.28 del GDPR stesso. Non si tratta dell’unica fonte normativa che incide sul contenuto dei contratti di esternalizzazione di servizi: basti pensare alla Circolare 285 di Banca d’Italia, al Regolamento 38 di IVASS, senza contare le Linee Guida EBA sulle esternalizzazioni per citare un altro esempio europeo. Si rende quindi evidente come il legislatore e le Autorità italiane e internazionali considerino i contratti di esternalizzazione come estremamente rilevanti per i rischi che possono comportare, sia in termini di continuità operativa per i clienti, sia per il tema della sicurezza che i fornitori devono garantire. Il GDPR ha peraltro inciso non solo sui contratti nuovi ma anche sui contratti già stipulati nel tempo e in essere al momento della sua efficacia: questo ha determinato la necessità per molti mesi di rinegoziare i contratti in vigore. Pertanto oggi, ad oltre un anno dalla efficacia piena del GDPR, è importante capire come affrontare la tematica della gestione della contrattualistica sotto vari punti di vista: dalla preparazione della specifica dei servizi da esternalizzare, alla valutazione dei fornitori, fino alla negoziazione e gestione dei contratti stessi.
Indice
- 1Introduzione
- 2Scenario e contesto normativo di riferimento
- 3Come cambiano i processi di procurement
- 4Il contratto nella prospettiva del committente e del fornitore
- 5Gestione degli adempimenti di Privacy by design, Privacy by default e Data Protection Impact Assessment
- 6La gestione dei data breach
- 7Modalità per la verifica dei requisiti contrattuali di sicurezza
- 8Autori
- 9Allegato A – Lo standard di riferimento ISO/IEC 27035:2016 per la gestione degli incidenti
- 10Allegato B - Approfondimento: il modello di Vendor Management nel settore bancario
Domande chiave
- Quali sono i contenuti che un contratto dovrebbe avere per dare evidenza dell’impegno del Titolare e del Responsabile del trattamento a osservare i requisiti del Regolamento?
- Quali responsabilità possono essere attribuite al fornitore e quali devono essere mantenute dal Titolare per assicurare il controllo dei maggiori rischi per l’interessato e per l’azienda?
- Come cambia il processo di procurement alla luce dei cambiamenti imposti dal GDPR?
- Esistono peculiarità dei servizi Cloud di cui il Titolare deve tenere conto?
- Come gestire gli adempimenti di Privacy by design, Privacy by default e Data Protection Impact Assessment?
- Come contrattualizzare gli obblighi intercorrenti tra Titolare e il Responsabile nella gestione dei data breach?
- Come impostare un adeguato sistema di controlli?
Siamo a tua disposizione per informazioni e assistenza
Eleonora Evstifeew
Acquisti e abbonamenti Da Lunedì al Venerdì, dalle 09 alle 18Antonella Zagheni
Assistenza abbonati Da Lunedì al Venerdì, dalle 09 alle 18Scopri altri contenuti di Cybersecurity & Data Protection