Diventa Autore per CoreTech | Scopri di più
20/07/20 Avvocato Dalla Riva Blog
dell’Avvocato Gianluca Dalla Riva
Collaborando con aziende MSP (Managed Service Provider), uno dei temi che emerge di frequente è il ruolo privacy che riveste l’MSP in relazione ai dati personali che si trovano nei sistemi informatici del cliente.
Spesso a fronte della mia qualificazione dell’MSP quale responsabile del trattamento ex art. 28 GDPR, che comporta la necessità di condividere con il cliente un DPA (Data Processing Agreement), che racchiude una pletora di adempimenti non facili da digerire, mi viene proposta la tesi secondo cui l’MSP non tratta dati personali perché letteralmente “io non li vedo”.
Ho già tenuto su questo tema un webinar, al Summit Live 2020 di CoreTech, proprio per chiarire che l’MSP è quasi sempre un responsabile del trattamento ex art. 28 GDPR, che tratta, per conto dei suoi clienti, i dati personali che si trovano nei loro sistemi informatici, dato per il regolamento (UE) 2016/679 è sufficiente la semplice messa disposizione per configurare un trattamento, senza considerare altri trattamenti di dati personali tipici di un MSP come backup, gestione reti ed altri, che non sono altro che i compiti di un amministratore di sistema.
Tra i consulenti e studiosi di privacy questa conclusione è data per pacifica e costituiscono casi molto limitati le ipotesi in cui l’MSP può essere considerato un soggetto autorizzato al trattamento (per esempio un dipendente che collabora per un breve periodo all’interno delle strutture aziendali, magari per uno specifico progetto, sotto il diretto controllo del cliente e con le sue strutture aziendali, rimanendo i dati personali all’interno degli stessi sistemi informatici del cliente).
Fuori da queste ipotesi, l’MSP è sempre un responsabile del trattamento e quindi è sottoposto a tutti gli obblighi ex art. 28 GDPR che al primo paragrafo prevede la dimostrazione di essere compliance rispetto allo stesso regolamento GDPR.
Si tratta quindi non solo di avere un DPA (Data Processing Agreement), ma anche di avere adottato tutte quelle misure tecniche ed organizzative adeguate per rispettare il regolamento GDPR e in primo luogo l’art. 28 già sopra citato.
È chiaro che un’errata valutazione del ruolo privacy dell’MSP comporta il mancato rispetto degli obblighi previsti dal GDPR, esponendolo a sanzioni.
Da quello che ho constatato, siamo ancora in una fase di prima applicazione degli adempimenti privacy in cui alcune aziende MSP, più per mancanza di conoscenze che per cattiva volontà, sono molto deboli sotto l’aspetto organizzativo, sguarnite della documentazione anche la più elementare.
Mancano per esempio l’analisi e gestione del rischio e la procedura di gestione dei data breach, che costituiscono la base di qualunque modello privacy, e che sono i primi documenti che la Guardia di Finanza – Nucleo Speciale Privacy, chiede appena entra in azienda per fare un’ispezione.
Mi rendo conto della complessità di queste tematiche che ho dovuto studiare a fondo proprio per la loro importanza, arrivando anche a preparare due corsi dedicati, in modo da poter consentire in tempi ragionevoli di acquisire le basi fondamentali per poter affrontare questi adempimenti con molta autonomia.
Io stesso ho dovuto fare una sintesi che traducesse in termini comprensibili, ma efficaci sotto il profilo pratico, queste tematiche, che altrimenti sono molto difficili e dispersive, perché i materiali a disposizione sono molteplici e complessi col rischio di perdersi in un mare infinito senza poi essere capace di agire concretamente.
La vera sfida è combinare teoria e pratica insieme: io ci ho provato non solo preparando questi corsi, ma anche creando una cartella excel con oltre 60 fogli collegati tra loro, che ho chiamato privacyRID, per gestire i più importanti adempimenti privacy (quindi non solo quelli appena citati, ma anche altri come la mappatura dei trattamenti, registri, organigrammi, analisi del contesto, gestione della formazione, gestione accessi logici e fisici, ecc.).
Ho fatto questa scelta perché se si deve cominciare ad implementare la compliance privacy da qualche parte devi cominciare e, a mio sommesso avviso, conviene cominciare proprio dall’analisi e gestione del rischio e dalla gestione dei data breach.
Se sei un MSP il mio consiglio è di partire dalla gestione dei data breach perché se domani succede un problema del genere devi sapere agire correttamente e rapidamente…anche perché come qualcuno ha detto “del doman non v’è certezza”.