Verificare data location, fornitori e trasferimenti esteri
Un controllo GDPR aggiornato deve chiarire dove vengono trattati e conservati i dati personali. La verifica riguarda server aziendali, archivi fisici, software gestionali, CRM, piattaforme email, servizi cloud, strumenti analytics, fornitori IT, consulenti esterni e subfornitori coinvolti nel trattamento.
La responsabilità della mappatura è del titolare del trattamento o del responsabile, secondo il ruolo ricoperto. Il DPO, quando presente, può supportare l’organizzazione e sorvegliare l’osservanza del Regolamento, mentre le decisioni sui trattamenti e sulla documentazione privacy restano in capo ai soggetti responsabili.
Luoghi, strumenti e flussi di dati
La prima verifica consiste nel ricostruire dove transitano i dati personali lungo tutto il ciclo di trattamento: raccolta, consultazione, modifica, archiviazione, comunicazione a terzi, conservazione e cancellazione. La mappatura deve includere anche strumenti esterni usati nelle attività ordinarie, come piattaforme per newsletter, pagamenti, assistenza clienti, paghe, selezione del personale, videoconferenze, document sharing e ticketing.
Per ogni flusso va chiarito se i dati sono trattati su sistemi interni, presso fornitori europei, tramite servizi cloud o attraverso piattaforme che coinvolgono subfornitori. Questa ricostruzione serve ad allineare registro, informative, contratti, misure di sicurezza e tempi di conservazione.
Fornitori e responsabili del trattamento
Quando un fornitore tratta dati personali per conto dell’organizzazione, il rapporto va regolato ai sensi dell’articolo 28 GDPR. Il contratto o altro atto giuridico deve indicare istruzioni, finalità, durata, categorie di dati, misure di sicurezza, ricorso a subfornitori, obblighi di riservatezza, assistenza al titolare e cancellazione o restituzione dei dati al termine del servizio.
Il titolare deve avere sempre disponibili le informazioni su responsabili e sub-responsabili coinvolti, incluse identità, sede, ruolo svolto, trattamenti affidati e misure applicate. Il controllo è particolarmente rilevante per servizi cloud, software in abbonamento, piattaforme di marketing, consulenti paghe, fornitori tecnologici e sistemi basati su analytics o automazione.
Trasferimenti fuori dallo Spazio economico europeo
Se i dati personali sono trasferiti verso Paesi esterni allo Spazio economico europeo o verso organizzazioni internazionali, il registro deve indicare il Paese di destinazione e le garanzie adottate. Il trasferimento può basarsi, secondo i casi, su una decisione di adeguatezza della Commissione europea, su clausole contrattuali standard, su norme vincolanti d’impresa o su altri strumenti previsti dal GDPR.
Per i servizi con fornitori statunitensi va verificato se il destinatario partecipa all’EU-US Data Privacy Framework oppure se sono state adottate altre garanzie valide per il trasferimento. La verifica va documentata e aggiornata quando cambiano fornitori, sedi di trattamento, subfornitori o condizioni contrattuali.
Aggiornamento periodico della data location
La localizzazione dei dati va controllata con cadenza periodica, perché software, cloud provider e strumenti digitali possono modificare sedi di trattamento e subfornitori. Ogni verifica dovrebbe lasciare traccia dei controlli svolti, delle modifiche rilevate e degli aggiornamenti apportati a registro, informative, contratti con i responsabili e procedure interne.