L’autorità olandese per la protezione dei dati (AP) ha indagato sugli accordi di elaborazione di 31 organizzazioni del settore privato (dai settori commercio, sanità, media, tempo libero ed energia). L’obiettivo era ottenere un quadro migliore di come le organizzazioni redigono questi accordi. La conclusione è che sono in uso accordi per processori molto diversi.

Ciò è in linea con l’immagine che il Regolamento generale sulla protezione dei dati (GDPR), a causa degli standard aperti di questa legge, offre possibilità di personalizzazione. Dopo tutto, non tutte le organizzazioni o processi sono uguali.

Contratto con il processore

Le organizzazioni spesso coinvolgono altre organizzazioni per elaborare i dati personali per loro conto. Ad esempio, se esternalizzano la contabilità, assumono un call center o hanno un sito Web ospitato. Tale altra organizzazione è chiamata processore.

In un accordo del processore, entrambe le parti registrano accordi su ciò che il processore può e non può fare con tali dati personali. Un accordo del processore è obbligatorio ai sensi del GDPR.

Raccomandazioni dell’AP

L’AP sottolinea che accordi per processori validi e periodicamente aggiornati fanno parte di buone operazioni aziendali.

Le organizzazioni che sono sempre più guidate dai dati farebbero bene a investire in accordi con processori funzionanti come parte della loro gestione dei dati.

Inoltre, l’AP ha alcune raccomandazioni generali per le organizzazioni, tra cui:

1. Sulla base del tuo registro di elaborazione, chiarisci quali organizzazioni coinvolgi, quale elaborazione eseguono, quali sono i rischi e se si applica o è richiesto un accordo di elaborazione.
2. Incorpora la redazione, la valutazione e l’adeguamento degli accordi del processore nei processi esistenti. Collegarsi ai processi di gestione dei contratti esistenti e rivedere periodicamente gli accordi.
3. Rendere concreti accordi e misure. Un accordo con il processore ha lo scopo di rendere concreti gli standard aperti dal GDPR per una situazione specifica. Ad esempio, specificare periodi di conservazione specifici o specificare quali misure di sicurezza verranno prese.

Per ulteriori consigli e cose da fare e da non fare concreti, vedere: Accordi per processori funzionanti – Ricerca sull’applicazione nel settore privato .

Studi esplorativi 

Dall’introduzione del GDPR il 25 maggio 2018, l’AP controlla regolarmente se le organizzazioni rispettano i requisiti della normativa sulla privacy. Ad esempio, l’AP ha precedentemente esaminato se le organizzazioni governative, gli ospedali, gli assicuratori (sanitari) e le banche hanno un responsabile della protezione dei dati (DPO).

L’AP ha anche condotto un’indagine esplorativa su grandi organizzazioni private per verificare se tengono un registro delle attività di trattamento.

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DEI PAESI BASSI – AP