LET’S TALK & CONNECT

La filiera dei fornitori sempre più sofisticata e tecnologicamente avanzata gioca un ruolo chiave nella costruzione della sicurezza delle organizzazioni – siano esse imprese private o enti pubblici. L’emergenza sanitaria e l’inarrestabile aumento delle minacce informatiche – complice la crisi Russia-Ucraina – hanno evidenziato la necessità urgente di innalzare il livello di attenzione relativo alla gestione del rischio, in primis sulla idoneità, selezione e monitoraggio costante della supply chain.

Il passo decisivo che le imprese sono chiamate a compiere prevede il passaggio dalla reazione alla prevenzione, ponendo tra i temi di maggior rilievo nell’ambito dei processi decisionali il valore della business continuity che impone loro l’adozione della logica del monitoraggio e del controllo costante delle possibili minacce per approntare gli strumenti e le misure adeguate ad affrontarle.

Non è che un caso che il tema degli approvvigionamenti e dei fornitori sia un tema centrale in numerose normative europee dal GDPR – dove il concetto rappresenta uno dei pilastri portanti dell’intero impianto – alla NIS2, passando per numerosi provvedimenti e normative nazionali. Tutte le norme e le direttive citate individuano, infatti, nelle perturbazioni a cui sono soggette le filiere di fornitura, una delle maggiori minacce non solo per il patrimonio informativo delle imprese, ma addirittura per la loro continuità operativa e – estendendo la visione – per la loro sopravvivenza.

Non si tratta dunque di ridurre la questione della conformità dei fornitori ad un mero adempimento normativo o ad un passaggio obbligato da compiere per il raggiungimento della compliance. Per il titolare tale tematica assume un valore strategico che parte dalla scelta stessa del fornitore e prosegue per l’intera durata del rapporto di fornitura. Rispetto al mercato il Titolare dimostra inoltre l’attenzione posta al tema della tutela e sicurezza delle informazioni, accrescendo la fiducia dei consumatori nell’azienda e nel brand stesso.

Le responsabilità dei Titolari

Faro guida per il titolare che si trovi a selezionare il provider è l’articolo 28 del GDPR, in base al quale il titolare deve nominare responsabili del trattamento che presentino garanzie sufficienti tali da poter mettere in atto misure tecniche ed organizzative adeguate, in modo che il trattamento soddisfi i requisiti prescritti dal GDPR e garantisca la tutela dei diritti degli interessati. Tale scelta pone l’accento sul concetto di “responsabilizzazione del titolare” traducendo nella pratica il principio dell’accountability, secondo cui – ricordiamo – il titolare deve essere in grado di dimostrare di aver attuato quanto di sua competenza per valutare la conformità della filiera di fornitori; al contempo, quest’ultimi dovranno dimostrare di aver rispettato gli obblighi normativi. Ragion per cui la fase di selezione del fornitore risulta assolutamente cruciale e impone al Titolare una serie di valutazioni preliminari.

I titolari inadempienti alle prescrizioni del GDPR possono esporre l’impresa a sanzioni tutt’altro che banali, che possono raggiungere importi pari al 4% del fatturato globale dell’azienda. Oltre all’aspetto normativo è necessario considerare l’impatto reputazionale e competitivo: dotarsi di una catena di fornitori in grado di garantire misure tecniche ed organizzative adeguate sul fronte del trattamento dei dati personali favorisce l’instaurazione di un rapporto di fiducia con i propri clienti e assicura una maggiore credibilità sul mercato, in quanto denota la sensibilità e la gestione responsabile da parte del titolare degli aspetti connessi alla sicurezza, alla tutela e alla riservatezza delle informazioni.

Cosa esibire in caso di controllo dell’Autorità: l’importanza degli audit

Quanto detto rende pertanto necessaria una risposta concreta delle organizzazioni all’art.28. Una presa di coscienza che – sul piano pratico – si dovrebbe tradurre nella creazione di un processo di verifica di responsabili e sub-responsabili del trattamento che consenta all’ente o all’impresa di costruire una visione completa dell’indice di rischio di conformità rispetto ad ogni singolo fornitore e di avere una panoramica chiara per procedere – eventualmente – con valutazioni e analisi più approfondite sulle aree di maggiori criticità o sulle tematiche più sensibili.

Un sistema di gestione siffatto si rivela una dimostrazione concreta rispetto alle valutazioni condotte e alle scelte compite oltre che una memoria storica da esibire in caso di controlli da parte dell‘Autorità Garante che, attraverso il nucleo dedicato della Guardia di Finanza può effettuare controlli e ispezioni in qualsiasi momento.

Va da sé che una volta creata la procedura per la verifica della catena di approvvigionamento, il Titolare debba – con cadenza periodica e una certa costanza – verificare attraverso audit e valutazioni specifiche le attività dei soggetti coinvolti nei processi alimentati in maniera più o meno diretta dal trattamento dati personali. Per scongiurare eventuali possibili criticità nel rapporto titolare/responsabili/sub responsabili lo strumento del contratto diviene indispensabile per andare a definire il perimetro di obblighi, responsabilità e reciprochi doveri delle parti – comprese le modalità di audit.

In riferimento a quest’ultimo aspetto merita ricordare che il Titolare può avvalersi di soggetti esterni per l’attività di audit nei confronti dei responsabili e può declinarsi in diversi modi: può infatti concentrarsi sull’intero rapporto disciplinato oppure può avere ad oggetto aspetti ritenuti particolarmente critici o rischiosi, ad esempio a seguito di un breach subito dal Responsabile su un determinato ambito di dati. L’ispezione, in linea generale, non può tuttavia prescindere dall’analisi di alcuni aspetti cruciali quali la tipologia di dati trattati, misure tecniche impostate e settabili, procedure organizzative, modalità di acquisizione e trattamento dati, amministrazione del sistema. Ulteriori scenari giuridici di gran lunga più complessi possono poi aprirsi nel caso si parli di cloud o sviluppi su commissione.