La gestione delle terze parti fa riferimento alla capacità dell’azienda di gestire il rischio correlato al loro utilizzo.
Significa che se affido a terzi la gestione di alcune attività per mio conto, come ad esempio l’esternalizzazione delle buste paga, la gestione del sito web, l’amministrazione del settore informatico, o utilizzo terze parti che potrebbero avere accesso ai miei dati (servizi cloud, società di web hosting, assistenza da remoto di applicativi), dovrò stipulare un contratto con loro come Responsabili del trattamento.
Questo contratto dovrebbe contemplare, per esempio:
- Il dettaglio di chi ha accesso ai dati
- Quali misure di sicurezza devono essere applicate
- Come verifico che quanto pattuito viene applicato
- I termini per la segnalazione di un Data Breach
- Il diritto di audit
Il rischio a cui devo prestare attenzione è legato alla possibile violazione dei dati.
Per questo motivo, il legislatore è stato molto chiaro nel determinare che è responsabilità del Titolare del trattamento controllare chi accede ai dati personali della propria azienda.
Come possiamo procedere:
- Verificate tutti i vostri fornitori per determinare se hanno accesso o utilizzano per conto vostro i dati personali che avete raccolto
- Definite degli accordi chiari in merito alle misure di sicurezza che devono essere applicate e al vostro diritto di verifica
- Valutate il rischio per la vostra azienda nel caso vi fosse una violazione
- Stabilite delle procedure chiare in merito alle tempistiche di segnalazione di Data Breach
- Adottate un sistema di verifica annuale di tutte le vostre terze parti
- Create dei processi per la scelta del fornitore
- Se è il caso, effettuate una DPIA (Valutazione d’impatto sulla protezione dei dati) prima di adottare un determinato fornitore; vi permetterà di analizzare e ridurre al minimo i rischi.
“Gestione delle terze parti: sicurezza dei dati oltre i confini aziendali.”
