{"id":1402,"date":"2016-03-25T18:32:02","date_gmt":"2016-03-25T17:32:02","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=1402"},"modified":"2016-04-10T16:50:52","modified_gmt":"2016-04-10T14:50:52","slug":"processors-and-sub-processors","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2016\/03\/25\/processors-and-sub-processors\/","title":{"rendered":"Fornitori e subfornitori"},"content":{"rendered":"<p>La Direttiva 95\/46\/EC ora in vigore non regola i subfornitori. Un titolare (controller) pu\u00f2 scegliere un fornitore e nominarlo responsabile, ma un cosiddetto responsabile esterno non pu\u00f2 nominare un proprio fornitore come responsabile.<\/p>\n<p>Come risultato, in questi anni, molti responsabili esterni hanno designato i propri fornitori come responsabili, anche se ci\u00f2 non \u00e8 previsto dalla normativa vigente. Questi casi sono stati discussi pochissimo in questi 20 anni ed \u00e8 un peccato, visto che le filiere di fornitura sono sempre pi\u00f9 lunghe.<\/p>\n<p>L&#8217;ultima bozza di GDPR permette ai responsabili di &#8220;ingaggiare altri responsabili&#8221;, ma &#8220;tali responsabili devono sempre informare il titolare di ogni cambiamento relativo all&#8217;aggiunta o sostituzione di altri responsabili&#8221;. Pensiamo ad una PMI che usa dei servizi di telecomunicazione forniti da una grande azienda. In questi casi, la PMI dovrebbe essere aggiornata dalla grande azienda in merito ai suoi fornitori che possono accedere ai dati personali (fornitori di assistenza applicativa e hardware, consulenti, legali, ecc.).<\/p>\n<p>Aggiungiamo anche il fatto che le grandi aziende possono avere tanti fornitori, con cambiamenti frequenti. Quando hanno tanti clienti, dovrebbero inviare loro gli aggiornamenti troppo di frequente. E se poi un cliente non accettasse?<\/p>\n<p>Perch\u00e9 il GDPR non propone alternative, pi\u00f9 in linea con i tempi? Nel mondo reale, i clienti pi\u00f9 attenti chiedono al fornitore come intende trattare i dati personali, con quali finalit\u00e0, con quali mezzi e quali misure di sicurezza e come intende assicurare che tali disposizioni siano adottate anche dai suoi subfornitori. Sulla base di quanto specificato dal fornitore, anche contrattualmente, il cliente stabilisce se ricorrere ai suoi servizi o meno. Ma chiedere ad un fornitore la lista dei suoi subfornitori \u00e8 francamente eccessivo (oltre che pericoloso).<\/p>\n<p>Purtroppo, queste considerazioni non sono state oggetto di dibattito in questi anni anche se tutti (o quasi) hanno trovato delle soluzioni certamente corrette da un punto di vista sostanziale, ma non dal punto di vista formale.<\/p>\n<p>Dopo aver scritto (ma non pubblicato) questo articolo, un&#8217;altro molto simile \u00e8 stato pubblicato: https:\/\/iapp.org\/news\/a\/gdpr-killing-cloud-quickly\/. Anche se \u00e8 concentrato sul cloud, si osservi che le riflessioni sono facilmente estendibili ad ogni tipo di fornitore. Segnalo questa coincidenza perch\u00e9, evidentemente, questo tema comincia ad essere analizzato.<\/p>","protected":false},"excerpt":{"rendered":"<p>La Direttiva 95\/46\/EC ora in vigore non regola i subfornitori. Un titolare (controller) pu\u00f2 scegliere un fornitore e nominarlo responsabile, ma un cosiddetto responsabile esterno non pu\u00f2 nominare un proprio fornitore come responsabile. Come risultato, in questi anni, molti responsabili esterni hanno designato i propri fornitori come responsabili, anche se ci\u00f2 non \u00e8 previsto dalla\u2026 <span class=\"read-more\"><a href=\"https:\/\/blog.europrivacy.info\/it\/2016\/03\/25\/processors-and-sub-processors\/\">Leggi tutto &raquo;<\/a><\/span><\/p>\n","protected":false},"author":73,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[205,32],"class_list":["post-1402","post","type-post","status-publish","format-standard","hentry","category-roles-and-liabilities","tag-processors","tag-roles"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1402","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/73"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=1402"}],"version-history":[{"count":4,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1402\/revisions"}],"predecessor-version":[{"id":1452,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1402\/revisions\/1452"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=1402"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=1402"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=1402"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}