Current Directive 95/46/EC does not regulate sub-processing. A controller can choose a processor, but a processor cannot choose a sub-processor.
As a result, many processors chose sub-processors and designated them as their own processors. These cases should have been discussed in the last 20 years, considering that supply chains are getting longer.
The last GDPR proposal allows processors to “enlist another processor” and requires that “the processor should always inform the controller on any intended changes concerning the addition or replacement of other processors”. Let’s think of an SME that uses telecommunication services provided by a big player. In such cases, the SME should be updated by the big player about its suppliers that can access personal data (some application management suppliers, hardware maintenance providers, consultants, lawyers, etc.) and about any related change.
Why are there no other options? In the real world, a customer should ask details to a supplier about its purposes, means and sub-supplier management, evaluate if they are are aligned with its own purposes and means ad then decide if having it as a processor. But a customer cannot enforce such supplier to follow its own rules, nor oblige it to share its list of suppliers. We should also consider that big players have many customers and cannot change their processing for each and every customer.
Unfortunately, this subject is still not debated as it should be.
Post scriptum. After I wrote this article, I read another one about the same subject: https://iapp.org/news/a/gdpr-killing-cloud-quickly/. This article is only about cloud services suppliers, but it can be easily read considering all kind of suppliers.
Hai ragione. Avendo trascorso alcuni anni a tentare di gestire la nomina a Responsabili esterni di fornitori e subfornitori (con esiti diciamo… alterni), ho accolto come ottima notizia l’introduzione, al posto della nomina, di una relazione di tipo contrattuale (che quindi il fornitore non potrà più rifiutare). Avevo considerato con favore anche lo spostamento dell’onere di “nomina” del subfornitore in capo al fornitore, che è ovviamente in grado di imporre vincoli contrattuali. E’ anche normale che il cliente pretenda trasparenza sui subfornitori (alcune aziende lo prevedono, al di là della questione privacy). Certo, irrigidendo troppo la norma, si rischia di costringere da un lato i fornitori “di mezzo” a comunicazioni massive e ricorrenti a tutti i clienti, ogni volta che cambia un subfornitore (espondenosi anche al rischio si un rifiuto da parte di alcuni), dall’altro i clienti a subire uno spamming di notifiche ad ogni cambio. Però francamente non saprei come uscirne; forse adottando un accorgimento simile a quello per gli elenchi degli Amministratori di Sistema dei fornitori, per i quali si prevedeva inizialmente la consegna sistematica e poi si è optato per la tenuta a disposizione del cliente?
Ti ringrazio.
Mia opinione è che non sempre la trasparenza è un requisito necessario. Dipende. Certamente bisogna farsi dare chiare descrizioni dei meccanismi in atto per garantire la privacy e, eventualmente, fare qualche verifica o audit.
D’altra parte non chiediamo di leggere i test di sicurezza di un prodotto elettronico che acquistiamo; ci accontentiamo di leggere “CE” sul prodotto.
Non dico di fare esattamente lo stesso anche in ambito privacy, ma bisognerebbe anche non esagerare richiedendo misure di sicurezza troppo rigide quando non ce n’è bisogno.
Per quanto riguarda l’elenco degli AdS, non credo sia una buona idea far girare gli elenchi degli AdS che lavorano su certi sistemi. Credo sia anche per questa ragione che il Provvedimento fu modificato.