I bollettini di House of Data Imperiali sono degli estratti delle Puntate del servizio Dati in Primo Piano (DPP), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il DPP è fruibile tramite abbonamento.

EDPB: Supply chain del trattamento dei dati -2

Nella scorsa puntata dell’Editoriale del 28 novembre 2024 è stato esaminato il parere 22/2024 dell’EDPB del 9 ottobre 2024 con cui il Comitato ha risposto alle domande poste dall’autorità di controllo danese sugli obblighi derivanti dall’articolo 28, in combinazione con il capitolo V del GDPR sui trasferimenti di dati verso paesi terzi.

Di seguito, i punti principali della prima puntata:

  1. Innovatività del parere EDPB: Il parere non introduce novità, ma raccoglie aspetti già noti in un documento autorevole.
  2. Responsabilità primaria del titolare: Il titolare è principalmente responsabile per il trattamento dei dati personali e deve dimostrare la propria conformità, anche quando le operazioni sono compiute da responsabili o sub-responsabili, per suo conto.
  3. Obblighi del titolare: Il titolare deve mantenere informazioni aggiornate sull’identità di tutti i (sub-)responsabili – cioè responsabili e sub-responsabili di qualsiasi livello della filiera – e garantire la protezione dei dati durante i trasferimenti, specialmente se avvengono al di fuori dell’UE.
  4. Identificazione degli attori della catena del trattamento: È fondamentale mantenere aggiornato il registro delle attività di trattamento e identificare le terze parti che agiscono per conto del titolare.
  5. Controllo del titolare sulla catena del trattamento: Il titolare, in aggiunta all’identificazione, deve controllare l’operato degli attori della catena del trattamento, inclusi gli agenti non autorizzati.
  6. Adeguatezza della sicurezza dei dati: La sicurezza informatica dipende dall’anello più debole della catena. I (sub-)responsabili devono fornire sufficienti garanzie di conformità al GDPR.
  7. Difficoltà operative: Le aziende medio-grandi affrontano difficoltà nel rispettare questi requisiti del GDPR, ma queste difficoltà operative non esonerano il titolare dalle sue responsabilità.
  8. Difficoltà non giustificabili: Le difficoltà operative non possono giustificare l’arretramento della linea di conformità tracciata dal legislatore.
  9. Conclusioni: Il titolare, per impostazione predefinita, deve mappare gli attori della catena del trattamento, valutare il livello di rischio e determinare le misure di sicurezza adeguate.

In questa tornata esaminiamo in maggior dettaglio i contenuti del citato parere 22/2024 in relazione all’obbligo del titolare del trattamento di verifica delle garanzie fornite dai (sub-)responsabili; mentre si rinvia a una puntata conclusiva per l’analisi delle prescrizioni:

  • che impattano sulla catena del trattamento in relazione ai trasferimenti di dati (capo V, GDPR)
  • che impongono la stipula di apposito contratto o altro atto giuridico tra gli attori della filiera (art. 28, GDPR) e tra esportatore e importatore dei dati, come adeguata garanzia per i trasferimenti di dati verso paesi terzi (art. 44, GDPR).

Obblighi dei titolari

Continua…

Per continuare a leggere questo articolo devi essere abbonato al servizio Dati in Primo Piano.

Sei già abbonato?

Abbonati al DPP

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form