Oggi affrontiamo il tema delle terze parti nella gestione dei dati personali, un argomento che si rivela cruciale alla luce dei numerosi data breach e delle sanzioni che hanno coinvolto grandi aziende. Ho osservato che la maggior parte delle violazioni di dati e delle relative sanzioni sono legate non alle aziende stesse, ma alle terze parti a cui queste aziende affidano i dati. Casi emblematici includono Home Depot nel 2014, British Airways e Marriott, tutte colpite a causa di falle nei sistemi gestiti da terze parti.
In Italia, sanzioni significative hanno colpito aziende come Vodafone e Fastweb per illeciti legati ai loro partner commerciali. Questo fenomeno di outsourcing dei servizi non è sorprendente, ma pone una questione di responsabilità: nonostante le terze parti siano spesso la causa diretta delle violazioni, la responsabilità finale ricade sul titolare del trattamento dei dati. Questo perché il titolare trae beneficio economico dal trattamento e deve assicurarsi che le istruzioni e le verifiche siano adeguatamente rispettate.
Nel nostro lavoro di consulenza, dividiamo l'analisi in due fasi: una documentale e una di ispezione simulata, per verificare la reale applicazione delle procedure. Tuttavia, molte aziende si limitano a raccogliere certificazioni senza un controllo sostanziale. È fondamentale che le aziende non solo implementino procedure formali, ma si assicurino che queste siano effettivamente rispettate e adeguate a prevenire violazioni.
Infine, discutiamo le implicazioni della sentenza Shrems II, che ha invalidato il Privacy Shield tra Europa e Stati Uniti, costringendo le aziende a rivedere le loro pratiche di trasferimento dati. Questo ha spinto molti colossi tecnologici a sviluppare soluzioni interne all'Europa, dimostrando l'importanza di un audit rigoroso e continuo.
🎙️ Ospite: Guido Scorza, Avvocato e membro del Collegio del Garante per la protezione dei dati personali.
In questa Puntata
L'episodio esplora il complesso tema della gestione dei dati personali da parte di terze parti, evidenziando come la responsabilità ultima ricada sempre sul titolare del trattamento. Vengono discussi numerosi casi di data breach e sanzioni legate a terze parti, sottolineando l'importanza di una verifica sostanziale e non solo formale delle procedure di compliance al GDPR. Il dialogo si conclude con un accenno alle implicazioni della sentenza Shrems II e alla necessità di audit accurati nei trasferimenti di dati tra Europa e Stati Uniti.