Obblighi e responsabilità nella gestione della supply chain alla luce del Regolamento (UE) 2016/679

 

Necessità di assessment dei fornitori per scongiurare trattamenti illeciti e il verificarsi di violazioni di dati personali

1.1 Regolamento (UE) 2016/679 (“GDPR”)

Nella società contemporanea, caratterizzata da un costante aumento dell’impiego di tecnologie informatiche e conseguenti minacce nei confronti dei sistemi adottati, amplificate dalle interdipendenze tra aziende coinvolte in una medesima supply chain [1], l’attenzione del legislatore – sia nazionale sia europeo – si è rivolta, oltre che alla gestione interna delle organizzazioni, anche ai rapporti che le stesse intrattengono con i loro fornitori. In particolare, con il Regolamento (UE) 2016/679 (“GDPR”), coerentemente con l’impostazione già adottata nella (abrogata) Direttiva 95/46/CE, si è posta nuovamente l’attenzione sui cc.dd. supply chain incident [2].

A tal riguardo, l’art. 28 del GDPR obbliga espressamente il titolare del trattamento a procedere con una valutazione di adeguatezza dei responsabili del trattamento (si legga anche, dei fornitori) che trattano dati personali per suo conto. Tale valutazione riguarda anche gli aspetti di sicurezza informatica offerti o richiesti.

1.2 Il quadro normativo italiano: l’estensione della verifica di adeguatezza derivante dal c.d. Perimetro di Sicurezza Nazionale Cibernetica

Il legislatore nazionale ha esteso l’ambito di applicazione delle suddette verifiche di adeguatezza anche ad alcuni soggetti le cui attività hanno rilevanza strategica sul piano della sicurezza nazionale: in tal senso, il Decreto-Legge 105/2019 ha istituito il c.d. “Perimetro di Sicurezza Nazionale Cibernetica” (“Perimetro”) al fine di promuovere maggiore attenzione verso i temi riguardanti la cybersecurity . In particolare, chi rientra nel Perimetro ha l’obbligo di notificare al Centro di Valutazione e Certificazione Nazionale (CVCN) l’intenzione di affidare a soggetti esterni le forniture di beni, sistemi e servizi ICT e/o l’espletamento di propri servizi informatici, che può effettuare verifiche preliminari ed imporre condizioni e test di hardware e software secondo un approccio gradualmente crescente nelle verifiche di sicurezza.

 

Alcune questioni di rilevo: le conseguenze del mancato assessment nei confronti dei fornitori

2.1 L’art. 28 del GDPR e la responsabilità del titolare del trattamento

Lo svolgimento delle verifiche ex art. 28 del GDPR risponde all’obbligo di implementare adeguate misure tecniche e organizzative volte a garantire – e a dimostrare – la liceità di un trattamento e la tutela dei diritti degli interessati. La violazione dell’art. 28 del GDPR può comportare l’irrogazione di una sanzione amministrativa pecuniaria fino a 10.000.000 EUR, o, per le imprese, fino al 2% del fatturato mondiale totale annuo, se superiore. Viceversa, consone verifiche di adeguatezza potrebbero permettere al titolare del trattamento di non incorrere in casi di responsabilità da culpa in eligendo qualora i fornitori responsabili del trattamento disattendano ai requisiti di idoneità e adeguatezza richiesti o garantiti.

Ciò tuttavia non esclude ipotesi di responsabilità per culpa in vigilando in costanza del rapporto contrattuale durante il quale il titolare del trattamento dovrà svolgere adeguate attività di revisione e ispezione (tra le altre, mediante specifici audit di seconda parte). Le responsabilità che ne conseguono possono ascriversi anche a violazioni di altre previsioni del GDPR, tra cui si richiamano quelle degli artt. 24, 25 e 32.

A testimonianza di ciò si può richiamare il recente provvedimento del Garante per la protezione dei dati personali (“Garante”) emesso nei confronti di Wind Tre in cui si legge come la società “… avrebbe dovuto svolgere controlli più stringenti” nei confronti dei responsabili del trattamento e che “Le condotte descritte danno atto della mancanza di adeguate misure tecniche e organizzative, in violazione degli artt. 24 e 25 del Regolamento, con particolare riguardo all’incapacità di controllare efficacemente la filiera dei partner (…)” [3].

2.2 L’art.82 del GDPR e la responsabilità solidale

L’art. 82 del GDPR sancisce la ripartizione delle responsabilità tra titolare e responsabile del trattamento nei casi in cui un interessato avanzi una pretesa di risarcimento dei danni patiti per effetto di un trattamento illecito. Secondo tale impostazione, che può ritenersi assuma portata generale, il responsabile del trattamento risponde del danno causato dal trattamento solo qualora non abbia adempiuto agli obblighi del GDPR di cui sia specifico destinatario o abbia agito in modo difforme dalle legittime istruzioni.

L’art. 82, par. 4 del GDPR sancisce una responsabilità solidale tra titolare e responsabile nel caso in cui i soggetti siano coinvolti nello stesso trattamento e siano responsabili dell’eventuale danno causato dallo stesso. Qualora uno dei soggetti ritenuti responsabili abbia corrisposto all’avente diritto l’intero risarcimento del danno, ad esso viene riconosciuto il diritto di regresso nei confronti degli altri corresponsabili.

2.3 Ulteriori sanzioni per le aziende di rilevanza strategica

Oltre alle sanzioni amministrative previste dal GDPR, sono previste, tra le altre, sanzioni amministrative dal citato Decreto-Legge (da 200.000 EUR a 1.800.000 EUR) nel caso in cui non siano rispettati gli obblighi di notifica previsti per l’inottemperanza delle condizioni di sicurezza richieste o in assenza dell’esito favorevole dei test disposti dal CVCN; in tale ipotesi, i contratti di fornitura, anche se già sottoscritti, non produrranno effetti o cesseranno di produrli.

 

Implicazioni pratiche e conclusioni: Come condurre valutazioni di adeguatezza efficaci?

L’approccio risk-based, ormai alla base anche della normativa nazionale [4], è comune agli standard internazionali relativi alla sicurezza delle informazioni e consente alle organizzazioni di dotarsi di un framework unico per asseverare l’idoneità della propria supply chain. In tal senso, il titolare del trattamento è quindi chiamato ad individuare, prevenire e gestire i rischi che potrebbero verificarsi nello svolgimento della propria attività, con ciò individuando anche i rischi relativi alla supply chain. Per condurre tali valutazioni, gli standard internazionali, tra cui, nello specifico la ISO 31000:2018 relativa al risk management, possono costituire un efficace metodo di gestione dei rischi incombenti nell’ambito dell’attività di impresa.

La  verifica di idoneità dell’infrastruttura tecnica e organizzativa di un fornitore coinvolto nella supply chain potrà invece essere condotta in relazione agli standard internazionali di cui alla ISO/IEC 27001:2013, nella quale sono descritte le best practices per un Sistema di Gestione della Sicurezza delle Informazioni (c.d. “SGSI”), e con riguardo alla ISO 22301:2019, relativa alle attività da implementare al fine di poter realizzare un efficace sistema di gestione per la continuità operativa (c.d. Business Continuity Management System, “BCMS”). Ulteriori valutazioni dovranno essere condotte anche in ragione di specifiche prescrizioni del Garante, nonostante l’avvenuta abrogazione dell’Allegato B al Codice Privacy di cui si dovrà in ogni caso tener conto [5]. Tra queste, si richiamano ad esempio quelle del provvedimento relativo alla figura degli amministratori di sistema; del provvedimento in ambito bancario; delle autorizzazioni generali pro tempore vigenti [6].

Le valutazioni e verifiche di cui sopra, pertanto, consentiranno  al titolare di ritenere (o meno) adeguata l’infrastruttura tecnico-organizzativa del designando responsabile del trattamento e di istruire quest’ultimo circa l’adozione di idonee misure considerate sufficienti e adeguate a mitigare i rischi identificati e per la tutela dei diritti e delle libertà degli interessati.

 

 

Note:

[1] Con il termine “catena di distribuzione”, in inglese “supply chain”, si fa riferimento alla gestione della catena di distribuzione relativa ad un prodotto e/o servizio. Per approfondimenti: Mentzer, J.T. et al (2001): Defining Supply Chain Management, Journal of Business Logistics, Vol. 22, No. 2, 20.

[2] Con detta espressione, ci si riferisce all’eventualità per cui una violazione di dati personali non si verifichi direttamente presso il titolare del trattamento, bensì presso un suo fornitore, debitamente nominato responsabile ai sensi dell’art. 28 del GDPR.

[3]  Ordinanza ingiunzione nei confronti di Wind Tre S.p.a. – 9 luglio 2020: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9435753.

[4] Si ricorda come in fase di revisione del  Codice Privacy per l’adeguamento al GDPR sia stato abrogato il suo Allegato B, contenente le misure minime di sicurezza in materia di protezione dei dati personali. In merito, si ricorda anche l’abolizione dell’istituto della notifica preventiva ex art. 17 del Codice Privacy e degli artt. 33 e seguenti del Codice Privacy.

[5] Si veda l’analisi del provvedimento correttivo emesso dal Garante nei confronti di Aruba PEC: https://www.ictlegalconsulting.com/2020/04/14/misure-di-sicurezza-vecchie-conoscenze/;

Link al provvedimento: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9283040.

[6] Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1577499;

Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie – 12 maggio 2011: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1813953;

Autorizzazioni generali del Garante: https://www.garanteprivacy.it/home/provvedimenti-normativa/provvedimenti/autorizzazioni.