Per rispettare la legge sulla privacy come ci deve comportare in caso di attività esternalizzate?

Il Garante prescrive di disciplinare i rapporti tra titolare del trattamento e soggetto esterno cui sia stata affidata una porzione di attività necessitante il trattamento dei dati personali.

Il soggetto esterno (impresa, consulente) deve assumersi l’impegno di garantire un adeguato trattamento dei dati. Questo significa per esempio che il soggetto esterno cui sia stato affidato l’incarico di trattare i dati deve assumersi precisi impegni su base contrattuale. In proposito il Garante ha fornito alcuni suggerimenti ad hoc per la costruzione delle clausole contrattuali. Il soggetto esterno deve, tra l’altro, assumersi l’impegno di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali. Inoltre il soggetto esterno deve obbligarsi ad di adottare le istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o di integrarle nelle procedure già in essere. Visto che il soggetto esterno si obbliga a eseguire le istruzioni del titolare, è coerente prevedere un obbligo di report a carico del service e del consulente esterno. Questi devono assumere l’obbligo di impegnarsi a relazionare annualmente sulle misure di sicurezza adottate e di allertare immediatamente il proprio committente in caso di situazioni anomale o di emergenze.

Visita la pagina della consulenza privacy per maggiori informazioni.