Il requisito di valutazione dei fornitori DPIA
L'articolo 35 del GDPR richiede valutazioni d'impatto sulla protezione dei dati per il trattamento che potrebbe comportare un alto rischio per i diritti e le libertà degli individui. Il trattamento su larga scala di dati personali (articolo 35(3)(b)) rientra in questo requisito. Quando un'organizzazione implementa uno strumento di anonimizzazione per il trattamento su larga scala di PII, la DPIA deve valutare lo strumento come un data processor ai sensi dell'articolo 28 del GDPR.
L'articolo 28 richiede che i data processor forniscano "garanzie sufficienti per implementare misure tecniche e organizzative appropriate" e che il trattamento sia "regolato da un contratto o altro atto giuridico ai sensi della legge dell'Unione o dello Stato membro." Un DPO che completa una DPIA per uno strumento di anonimizzazione deve documentare: le misure di sicurezza dello strumento, le relazioni con i sub-processori, la residenza dei dati, le procedure di notifica delle violazioni dei dati e l'accordo sul trattamento dei dati che regola la relazione.
La certificazione ISO 27001 riduce significativamente l'onere documentale della DPIA: la ricerca BSI (2024) ha trovato che le organizzazioni certificate ISO 27001 riducono il tempo del questionario di sicurezza del 73%. Gartner ha scoperto che l'approvvigionamento della sicurezza delle Fortune 500 richiede ISO 27001 nel 78% delle RFP. Quando lo strumento di anonimizzazione è certificato ISO 27001, la DPIA può fare riferimento alla certificazione piuttosto che tentare di verificare indipendentemente i controlli di sicurezza dello strumento.
La checklist di valutazione dei fornitori dell'articolo 28
I DPO che valutano uno strumento di anonimizzazione rispetto ai requisiti dell'articolo 28 del GDPR dovrebbero verificare:
1. Accordo sul trattamento dei dati: È disponibile un DPA conforme al GDPR? Copre tutte le disposizioni richieste dall'articolo 28: trattamento solo su istruzioni documentate, obblighi di riservatezza, misure di sicurezza, controlli sui sub-processori, assistenza ai diritti degli interessati, cancellazione o restituzione al termine del contratto e cooperazione per l'audit?
2. Documentazione delle misure di sicurezza: Le misure di sicurezza tecniche e organizzative sono documentate in modo da soddisfare l'articolo 32? Per gli strumenti certificati ISO 27001, la certificazione e la Dichiarazione di Applicabilità forniscono questa documentazione.
3. Trasparenza sui sub-processori: Lo strumento utilizza sub-processori? Sono elencati e accessibili? I cambiamenti dei sub-processori richiedono una notifica preventiva al titolare del trattamento. Gli strumenti che utilizzano più fornitori di infrastruttura cloud (per ridondanza, CDN, ecc.) devono documentare ciascun sub-processore.
4. Residenza dei dati: Dove vengono trattati e archiviati i dati personali? Per i DPO con sede nell'UE, è richiesta la residenza dei dati nell'UE o un'architettura a zero conoscenza (nessun dato personale trasmesso ai server). Gli strumenti con sede negli Stati Uniti richiedono SCC o BCR documentati.
5. Notifica delle violazioni dei dati: Quali sono le procedure di notifica delle violazioni dello strumento? L'articolo 33 del GDPR richiede la notifica all'autorità di controllo entro 72 ore. L'articolo 28 richiede ai data processor di notificare ai titolari "senza indebito ritardo" dopo essere venuti a conoscenza di una violazione — il che deve avvenire prima dell'inizio del conteggio di 72 ore.
6. Disponibilità della DPIA: Il fornitore dello strumento ha completato la propria DPIA? È disponibile per i clienti aziendali per l'inclusione nella DPIA del titolare? Un fornitore di strumenti che non ha completato una DPIA per il proprio trattamento crea un gap documentale nella DPIA del titolare.
7. Supporto per cancellazione e portabilità: Lo strumento può soddisfare gli obblighi dell'articolo 17 (cancellazione) e dell'articolo 20 (portabilità)? Per gli strumenti a zero conoscenza in cui non vengono archiviati dati personali, la questione della cancellazione potrebbe non sorgere — ma la DPIA deve documentare questo.
La compagnia di assicurazione austriaca DPO che completa una DPIA per il proprio processo di anonimizzazione dei reclami può richiedere e ricevere: certificato ISO 27001, documentazione di hosting nell'UE, DPIA e DPA da un fornitore di strumenti conforme. Questi quattro documenti forniscono una copertura completa della DPIA dell'articolo 28. L'audit dell'autorità di controllo trova la DPIA completa.
Fonti: