Una preziosissima guida che stabilisce quali comportamenti il titolare del trattamento, che si affida a fornitori IT esterni, debba tempestivamente assumere, a fronte di un incidente che riguardi il trattamento o la conservazione dei dati.
Negli Stati Uniti, come in molti altri paesi del mondo, è del tutto normale che una azienda, che tratta dati personali, si appoggi a fornitori informatici esterni per parecchi aspetti, legati al trattamento stesso.
Questi dati possono essere sia di natura normale, sia di natura particolare; per questi ultimi è richiesta una particolare cautela nella protezione, nel corso del trattamento.
Ecco perché è bene che il titolare, che si affida a fornitori IT esterni, metta a punto una scaletta, con i vari passi da attuare per garantire un trattamento soddisfacente. Questa esigenza viene sottolineata dal fatto che purtroppo più volte si sono verificate delle violazioni di dati, presso le aziende sotto contratto.
I punti chiave di una politica di sicurezza, nei riguardi di un fornitore terzo, sono i seguenti:
- Stabilire e mantenere un programma di protezione dei dati personali di adeguata incisività e ambito operativo,
- accertarsi che tutti i dipendenti del fornitore esterno siano stati adeguatamente preparati a diventare autorizzati al trattamento; questo accorgimento evidentemente vale sia per i dipendenti del titolare, sia per i dipendenti del fornitore terzo,
- stabilire una politica di vigilanza sui sistemi informativi gestiti dai fornitori terzi,
- accertarsi che i controlli di sicurezza, contrattualmente concordati in precedenza, vengano regolarmente effettuati presso il fornitore esterno,
- accertarsi che sia disponibile un piano per fronteggiare possibili data breach, le cui disposizioni siano note tanto al titolare ed ai suoi collaboratori, quanto al fornitore terzo ed ai suoi collaboratori.
A proposito di quest’ultimo aspetto, è stata messa a disposizione una preziosissima guida, chiamata privacy Incident guidance, che stabilisce quali comportamenti si debbano tempestivamente assumere, a fronte di un incidente che riguardi il trattamento o la conservazione dei dati.
Il documento è scritto con la consueta chiarezza, tipica dei documenti anglosassoni, e siamo lieti di metterlo a disposizione dei nostri lettori.
Privacy Incident Handling Guidance(pdf)
Fonti: Puntosicuro.it