La crescente dipendenza delle aziende da terze parti per la gestione dei dati personali ha portato a un aumento significativo di violazioni e sanzioni. I recenti casi di data breach, come quelli che hanno coinvolto Home Depot, Verizon e British Airways, dimostrano che i problemi spesso originano da fornitori esterni piuttosto che dalle aziende stesse. Tuttavia, la responsabilità ultima ricade sempre sul titolare del trattamento dei dati, che deve dimostrare di aver fatto tutto il possibile per prevenire tali violazioni.
Questo modello di business, che spesso esternalizza la gestione dei dati per evitare complicazioni legate al GDPR, non esime le aziende dalle loro responsabilità. Nonostante le terze parti siano frequentemente all'origine delle violazioni, le sanzioni colpiscono principalmente le aziende che hanno affidato loro i dati. La lezione è chiara: la responsabilità finale rimane con chi trae beneficio economico dal trattamento dei dati, indipendentemente dalle azioni delle terze parti.
Il problema si complica ulteriormente quando si considerano le verifiche di conformità. Molte aziende si affidano a certificazioni e procedure formali che non vengono realmente implementate o controllate. Questo porta a una situazione in cui la documentazione diviene una "pistola fumante" nelle mani del garante della privacy, che può facilmente dimostrare la mancanza di diligenza da parte del titolare del trattamento. La soluzione richiede un equilibrio tra formalità e sostanza, assicurando che le verifiche siano non solo documentate ma effettivamente eseguite.
In questa Puntata
Terze parti e data breach: chi paga davvero quando i dati personali finiscono in mani sbagliate?