Data processing agreement e responsabili esterni

Se le attività affidate a terzi richiedono il trattamento dati, bisogna verificare i fornitori e vincolarli con il data processing agreement.

Per soddisfare la nostra e altrui richiesta di garanzie, il GDPR ha messo a carico del titolare del trattamento, e di altre figure con lui coinvolte nel trattamento dei dati, alcuni obblighi. Ecco perché, ogniqualvolta il titolare affidi il trattamento di un dato a partner o fornitori (responsabili esterni), egli è chiamato a verificare e acquisire garanzie ancora prima di affidare loro l’incarico, e a sottoscrivere il data processing agreement (DPA).

Quando si ha a che fare con un responsabile esterno?

Quando si verificano contemporaneamente queste 3 condizioni si ha a che fare con un responsabile esterno del trattamento:

  1. si affidano a terzi servizi che comprendono il trattamento di dati;
  2. il fornitore offre supporto strumentale e competenze e ha discrezionalità sulle modalità operative;
  3. nonostante la discrezionalità operativa, non determina autonomamente le caratteristiche del trattamento dei dati.
Quando si affidano a terzi servizi che comprendono il trattamento di dati e il fornitore offre supporto strumentale e competenze e, pur potendo operare con discrezionalità decisionale nelle modalità operative, non agisce autonomamente sul trattamento dei dati, allora il fornitore si configura come responsabile esterno del trattamento.

Qualche esempio? I fornitori di servizi informatici, cloud, web, marketing, elaborazione paghe, servizi di hosting, consulenti ai quali si affidano incarichi di audit per analisi di gestione se finalizzati a sviluppi di strategie di business, aziende che gestiscono la videosorveglianza aziendale.

Non sono responsabili esterni le banche nella gestione dei servizi di incasso e pagamento, le figure di audit per il controllo dei libri contabili se effettuati sulla base di norme obbligatorie, organismi per attività di certificazione di sistemi di gestione, il medico competente e gli organismi di vigilanza 231.

Valutare il responsabile esterno in base alle garanzie

Il responsabile esterno deve essere valutato dal titolare in termini di garanzie che è in grado di fornire in materia di tutela dei dati personali che gli vengono affidati.

Il responsabile esterno deve essere valutato dal titolare in termini di garanzie che è in grado di fornire in materia di tutela dei dati personali che gli vengono affidati.

La prima fase è precontrattuale: si tratta di valutare la competenza in merito alle misure organizzative e tecniche di sicurezza a tutela dei dati, a prescindere dalla competenza settoriale, richiedendo gli elementi utili a verificare e dimostrare la sua compliance in tema di protezione dei dati.

Una volta affidato l’incarico, la valutazione deve essere gestita con verifiche periodiche.

Il data processing agreement

Il rapporto tra titolare e responsabile deve essere oggetto di un contratto o di altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, chiamato data processing agreement,

Secondo il GDPR, il rapporto tra titolare e responsabile deve essere oggetto di un contratto o di altro atto giuridico a norma del diritto dell’Unione o degli Stati membri. Questo atto deve vincolare il responsabile del trattamento al titolare e definire:

  • la materia disciplinata;
  • la durata del trattamento;
  • natura e finalità del trattamento;
  • il tipo di dati personali e le categorie di interessati;
  • gli obblighi e i diritti del titolare del trattamento.

Tale atto vien chiamato anche data processing agreement (DPA). La sua assenza espone a sanzione sia il titolare sia il responsabile, che si troverebbe a trattare dati illecitamente.

La pratica e le clausole standard dell’Autorità danese

Nella pratica si assiste a una presentazione unilaterale del DPA da parte del titolare al responsabile esterno, solo per non rimarne privi.

Sarebbe opportuno che il responsabile e il titolare “componessero” un atto sottoponendo ognuno le proprie garanzie per l’esecuzione dei trattamenti. Nella pratica si assiste a una presentazione unilaterale del documento da parte del titolare al responsabile esterno, solo per non rimarne privi.

In tale contesto, l’autorità di controllo danese ha predisposto delle clausole contrattuali standard che, sottoposte alla valutazione dello European Data Protection Board, sono state integrate e rese un modello utilizzabile da tutti i titolari del trattamento verso i responsabili esterni.

L’autorità di controllo danese ha predisposto delle clausole contrattuali standard che sono state approvate dello European Data Protection Board.

Lo standard è costituito da un documento contrattuale e quattro appendici (allegati).

La parte contrattuale definisce i vincoli che regolano il rapporto tra titolare e responsabile esterno, dettagliando le previsioni dell’art. 28 del GDPR, in particolare la suddivisione degli obblighi tra le due parti in causa.

Le quattro appendici contengono informazioni di dettaglio.

  1. L’Appendice A descrive i dati oggetto di trattamento, le finalità, la natura e la durata del trattamento, le categorie di interessati, la lista dei sub-responsabili. I sub-responsabili sono i soggetti a cui il responsabile, previa autorizzazione generale o puntuale del titolare, può a sua volta affidare parte dei trattamenti da svolgere.
  2. L’Appendice B contiene l’elenco dei sub-responsabili autorizzati.
  3. L’Appendice C contiene le istruzioni relative all’uso dei dati personali fornite dal titolare del trattamento al responsabile
  4. L’Appendice D è lo spazio per ulteriori clausole.
Se un responsabile esterno al trattamento non può proseguire l’incarico che cosa può fare il titolare?

Se un responsabile non può proseguire l’incarico?

L’Autorità danese ha previsto tale eventualità, attribuendo al titolare la facoltà di richiedere direttamente ai sub-responsabili l’esecuzione del contratto stipulato con il responsabile o la cancellazione o restituzione dei dati personali trattati.

La verifica dell’idoneità tecnico professionale

se le attività affidate a terzi sono svolte in un luogo rispetto al quale il datore di lavoro ha una titolarità di occupazione e di utilizzo, che sia un titolo di proprietà, di affitto o di comodato d'uso, il datore di lavoro deve procedere alla verifica dell'idoneità tecnico professionale.

La verifica dell’idoneità tecnico professionale è un’attività che deve essere svolta dal datore di lavoro quando affida l’esecuzione di lavori, l’erogazione di servizi o attività di fornitura a un’impresa o a un lavoratore autonomo all’interno della propria azienda o di una sua unità produttiva o del suo ciclo produttivo, se le attività affidate si svolgono in un luogo rispetto al quale il datore di lavoro ha la disponibilità giuridica. Quindi se le attività affidate a terzi sono svolte in un luogo rispetto al quale il datore di lavoro ha una titolarità di occupazione e di utilizzo, che sia un titolo di proprietà, di affitto o di comodato d’uso, il datore di lavoro deve procedere alla verifica.

Nel caso dei cantieri, la verifica è in carico al committente o al responsabile dei lavori e al datore di lavoro dell’impresa affidataria (quini della titolare del contratto diretto con il committente).

A che cosa serve la verifica dell’idoneità tecnico professionale?

La finalità della verifica dell’idoneità tecnico professionale è quella di avere un certo grado di fiducia nel fatto che le attività saranno affidate a soggetti capaci di svolgerle, nel rispetto delle condizioni di legalità e di sicurezza.

La finalità della verifica dell'idoneità tecnico professionale è quella di avere un certo grado di fiducia nel fatto che le attività saranno affidate a soggetti capaci di svolgerle, nel rispetto delle condizioni di legalità e di sicurezza.

Questo vuol dire che la verifica non è solo una formalità, ma un momento in cui il datore di lavoro può valutare se il proprio fornitore è in grado, almeno sulla carta, di eseguire l’attività che gli vuole affidare.

Come si effettua la verifica?

Ci sono due strade alternative, ma molto simili, da percorrere. La scelta tra le due dipende dall’ambito nel quale si stanno affidando le attività a terzi.

Se si opera in un cantiere (temporaneo e/o mobile) si richiedono i documenti previsti dall’Allegato XVII del Testo Unico Sicurezza, che sono diversi a seconda che si tratti di verificare l’idoneità tecnico- professionale di un’impresa o di un lavoratore autonomo.

Se si opera in un cantiere la verifica dell'idoneità tecnico professionale viene effettuata richiedendo i documenti previsti dall'Allegato XVII del Testo Unico Sicurezza.

Alle imprese si richiedono questi documenti:

  1. visura camerale in corso di validità con oggetto sociale inerente alla tipologia dell’appalto;
  2. documento di valutazione dei rischi;
  3. DURC (documento unico di regolarità contributiva) in corso di validità;
  4. dichiarazione di non essere oggetto di provvedimenti di sospensione o interdittivi di cui all’articolo 14 del D. L.vo 81/08.

Ai lavoratori autonomi si richiedono questi altri documenti:

  1. visura camerale in corso di validità con oggetto sociale inerente alla tipologia dell’appalto;
  2. documentazione che attestati la conformità di macchine, attrezzature e opere provvisionali alle disposizioni del D. L.vo 81/08 (ex. dichiarazioni di conformità CE, verbali di verifica periodica);
  3. elenco dei DPI in dotazione;
  4. attestati inerenti la formazione e certificato di idoneità sanitaria, se espressamente previsti dal D. L.vo 81/08;
  5. DURC in corso di validità.

Nei cantieri di durata presunta inferiore a 200 uomini-giorno e i cui lavori non comportano rischi particolari (individuati all’Allegato XI del Testo Unico Sicurezza), sia le imprese sia i lavoratori autonomi possono comprovare la propria idoneità tecnico professionale presentando solo:

  • certificato di iscrizione alla Camera di commercio;
  • DURC;
  • autocertificazione per gli altri documenti.
Al di fuori dei cantieri, la verifica dell'idoneità tecnico professionale si basa su certificato camerale e autocertificazione ai sensi del DPR 445.

Se non si opera nell’ambito di un cantiere, il datore di di lavoro deve richiede all’impresa o al lavoratore autonomo a cui ha affidato le attività:

  1. copia del certificato di iscrizione alla camera di commercio, industria e artigianato;
  2. autocertificazione del possesso dei requisiti di idoneità tecnico professionale, ai sensi dell’art. 47 del D.P.R. 445/2000.

Attenzione! L’autocertificazione non è una semplice dichiarazione, anche se la differenza sta più che altro nei riferimenti al DPR 445 e alla sua forma. La differenza però è notevole perché l’autocertificazione consente, a chi la redige, di presentare una dichiarazione firmata invece di dover produrre documenti ufficiali o certificazioni, ma, in caso di dichiarazioni false, il dichiarante rischia sanzioni penali e la perdita dell’affidamento delle attività.

Il fatto che la normativa parli di obbligo in carico al datore di lavoro non significa che debba essere lui in prima persona a dover richiedere la documentazione e a verificarne la correttezza e la completezza, ma che la responsabilità della verifica è a suo carico.

Chi deve effettuare la verifica?

Un ultimo dettaglio: il fatto che la normativa parli di obbligo in carico al datore di lavoro (committente o responsabile dei lavori per i cantieri) non significa che debba essere lui in prima persona a dover richiedere la documentazione e a verificarne la correttezza e la completezza, ma che la responsabilità della verifica è a suo carico. Quindi, in caso di mancata esecuzione della verifica o dell’affidamento delle attività nonostante l’assenza dei requisiti necessari, la sanzione è a suo carico. E si parla di arresto da 2 a 4 mesi o ammenda da € 1.228,50 a € 5.896,84.

I contenuti minimi degli attestati di formazione

Gli attestati di formazione sono parte strategica della documentazione dei nuovi assunti. Bisogna però verificare i contenuti minimi.

Nonostante la formazione sicurezza continui a essere vissuta da molti come un onere fastidioso (o proprio per questo motivo), gli attestati di formazione stanno diventando sempre più parte essenziale della documentazione dei nuovi assunti con esperienza lavorativa precedente. Assumere un lavoratore in possesso di tutti gli attestati necessari per svolgere le attività affidategli contrattualmente consente infatti l’inserimento quasi immediato nel ciclo produttivo. Essenziale in questo senso è la verifica della validità della formazione, non solo in termini di completezza e adeguatezza rispetto alla mansione affidata, ma anche in termini di contenuti minimi degli attestati di formazione.

Perché verificare anche la forma e non solo la sostanza

Non si tratta di scartare ogni attestato che presenta delle incongruenze, ma è opportuno dedicare del tempo per verificarne le mancanze, eventualmente contattando il soggetto che lo ha emesso o chiedendo al lavoratore se dispone di altra documentazione relativa al corso.

Immaginiamo di avere verificato gli attestati di formazione di un candidato con lunga esperienza nel settore. Lui è stato preciso e ha raccolto con cura ciascun attestato, quindi abbiamo la formazione iniziale e gli aggiornamenti, la formazione per singole attrezzature e attività specifiche come gli ambienti confinati o la gestione delle emergenze d’incendio. Ci sono però dei dettagli che non ci sono chiari: un paio di attestati non sono firmati da nessuno, in un altro caso la durata del corso di 16 ore non coincide con le date di erogazione del corso perché è segnata una sola data. Possiamo considerare validi questi attestati? Non così come sono! Per almeno due motivi:

  1. se è sorto a noi il sospetto della loro correttezza/ veridicità, il sospetto può sorgere a chiunque altro, anche a chi fa controlli e applica sanzioni…
  2. dal 2011 in poi, con l’entrata in vigore degli Accordi Stato – Regioni che hanno sempre più regolamento la formazione, si hanno delle indicazioni uniformi e semplici in relazione ai contenuti minimi degli attestati di formazione, per cui la verifica diventa semplice una volta capito il meccanismo.
Dal 2011 in poi, con l'entrata in vigore degli Accordi Stato - Regioni che hanno sempre più regolamento la formazione, si hanno delle indicazioni uniformi e semplici in relazione ai contenuti minimi degli attestati di formazione.

Con questo non intendo dire che ogni attestato che presenta delle incongruenze vada scartato, ma che è opportuno dedicare del tempo per verificarne le mancanze, eventualmente contattando il soggetto che lo ha emesso o chiedendo al lavoratore se dispone di altra documentazione relativa al corso, come il programma di formazione.

I 6 contenuti minimi degli attestati di formazione

Che cosa bisogna verificare dal punto di vista formale? 6 aspetti.

Li elenco di seguito rielaborando i requisiti degli Accordi Stato – Regioni del 21 dicembre 2011, del 22 febbraio 2012 e del 7 luglio 2016:

  1. denominazione del soggetto organizzatore/ formatore;
  2. normativa di riferimento;
  3. dati anagrafici del corsista, con riferimento alla mansione per quanto riguarda la formazione di lavoratori/ preposti/ dirigenti;
  4. tipologia di corso seguita, settore di riferimento (codice ATECO), durata e monte ore frequentato;
  5. periodo di erogazione del corso;
  6. firma del soggetto organizzatore/erogatore
I contenuti minimi degli attestati di formazione sono di fatto 6 e sono semplici da verificare.

Per chi volesse, di seguito è possibile scaricare la tabella di confronto dei requisiti dei contenuti minimi degli attestati di formazione degli Accordi che ho citato poco sopra.

.

Quanti addetti alla gestione emergenze?

Quanti addetti alla gestione emergenze devono essere presenti in azienda? Ecco alcuni criteri per individuarne il numero adeguato.

Quanti addetti alla gestione emergenze devono essere presenti in azienda? Quanti addetti al primo soccorso e quanti addetti all’antincendio? “Un numero adeguato!” è l’unica risposta possibile, ma ecco alcuni criteri che il datore di lavoro può utilizzare per valutare in modo concreto quanti addetti alla gestione emergenze formare e nominare.

Quali sono i vincoli di legge

I riferimenti sono il testo unico sicurezza (D. L.vo 81/08 e ss.mm.ii.), il DM 10 marzo 1998 per l’antincendio e il Decreto 388/03 per il primo soccorso. Sommando le previsioni delle tre norme si può concludere che il datore di lavoro deve nominare almeno un addetto alla gestione delle emergenze, ma che il numero effettivo dipende

  1. dalle dimensioni dell’azienda;
  2. dai rischi specifici dell’azienda o dell’unità produttiva.

Bisogna ricordare poi che formazione e nomina per la gestione dell’antincendio e quella per il primo soccorso sono due attività distinte, e una delle variabili da definire è se chi svolge il primo tipo di incarico debba o possa svolgere anche il secondo.

Criteri per definire il numero di addetti alla gestione emergenze

Il datore di lavoro deve nominare almeno un addetto alla gestione emergenze, ma il numero effettivo dipende dalle caratteristiche dell'organizzazione e dall'entità dei suoi rischi.

Per cercare di guadagnare in concretezza, ecco un elenco di aspetti da prendere in considerazione per valutare quale possa essere il numero adeguato di addetti alla gestione emergenze di una determinata azienda e se chi svolge un incarico di primo soccorso debba o meno svolgere anche l’incarico di addetto antincendio:

  1. numero di sedi di lavoro e numero di lavoratori per ogni sede;
  2. numero di turni di lavoro e numero di addetti per turno;
  3. caratteristiche delle mansioni lavorative, per cui vi può essere una distinzione tra lavoratori con postazione di lavoro fissa (che quindi possono presidiare un determinato ambiente) e lavoratori con funzione di corriere, oppure mansioni che richiedono la manipolazione di sostanze pericolose e altri che non presentano tale rischio;
  4. possibilità di assenza dei lavoratori incaricati della gestione emergenze ed eventualità di individuare quindi dei sostituti;
  5. possibilità di lavoro isolato e necessità di autosoccorso;
  6. entità del rischio incendio nei diversi ambienti di lavoro e del rischio di infortunio in funzione delle fasi produttive;
  7. gravità degli scenari di emergenza prevedibili e modalità di gestione definita;
  8. possibilità che si sommino emergenze diverse con la necessità di intervento in contemporanea per emergenza di primo soccorso e di antincendio;
  9. rischio aggiuntivo di infortunio per gli addetti all’antincendio con la necessità di prevedere la presenza di personale formato per soccorrerli.
Formazione e nomina per la gestione dell'antincendio e quella per il primo soccorso sono due attività distinte, e una delle variabili da definire è se chi svolge il primo tipo di incarico debba o possa svolgere anche il secondo.

Possono esserci troppi addetti alla gestione delle emergenze?

Il problema dell’adeguatezza del numero non riguarda solo il caso in cui gli addetti alla gestione emergenze siano sottostimati ma anche nel caso opposto. Il problema si pone sul piano pratico se non è stata definita in modo chiaro una gerarchia di responsabilità e un ordine di priorità di intervento, con il rischio di aumentare la confusione nelle fasi già critiche dell’emergenza o di ritardare i tempi di intervento.

Incendio OVH: l’inaspettato accade, e va previsto.

Il rogo del data center OHV mostra la vulnerabilità dei sistemi di salvataggio dati e l’importanza di identificare e mitigare gli imprevisti.

Nella notte tra il 9 e il 10 marzo 2021 un rogo è divampato all’interno di una stanza del data center SBG2, uno dei data center più grandi d’Europa di proprietà della OVH, azienda francese di web hosting. Si stima che più di un milione di siti e servizi siano stati coinvolti nell’incidente di Strasburgo; pur trovandosi geograficamente distanti, molte aziende, anche italiane, sono state coinvolte. Fortunatamente il rogo non ha causato vittime, ma i conti si fanno comunque, con danni materiali e immateriali arrecati ai clienti che avevano affidato i propri dati ai server ospitati negli edifici distrutti.

Il fondatore di OVH, Octave Klaba, ha comunicato tramite Twitter alla propria clientela di prevedere il restart dei data center SBG1 e SBG4, oltre che del network, entro lunedì 15 marzo, e quello del data center SBG3 entro venerdì 19 marzo, definendo il piano di recupero per le prossime due settimane e offrendo supporto ai clienti danneggiati.

Quanto accaduto alla OVH costituisce a tutti gli effetti una situazione di data breach e, in quanto tale, è soggetta alla notifica all’autorità di controllo entro 72 ore dal momento in cui il titolare ne viene a conoscenza.

L’incidente mette in luce la vulnerabilità di ogni sistema di salvataggio dei dati e l’importanza di identificare gli imprevisti e mitigarli, con azioni preventive e strategiche di recupero. Per quanto si possa considerare improbabile un evento simile, non si può pensare che non venga calcolato: qualsiasi insediamento ne tiene conto già in fase progettuale, prevedendo misure preventive ed elaborando piani di emergenza per contenerne i danni; le misure di prevenzione incendi sono parte integrante di ogni attività, si predispongono estintori e idranti in caso serva intervenire.

Ma siamo altrettanto preparati a contenere i danni in caso di perdita o distruzione di dati?

Siamo preparati a contenere i danni in caso di perdita o distruzione di dati?

L’approccio preventivo e protettivo da parte di ogni titolare del trattamento dati, come lo stesso Regolamento Europeo UE 2016/679 richiede, risiede anche nella scelta di un cloud provider conforme. Già in fase contrattuale è necessario acquisire ogni garanzia che vi siano misure atte a trattare in sicurezza i dati e che, in caso di “incidenti”, l’organizzazione a cui ci affidiamo abbia previsto strategie idonee in grado di mitigarne l’impatto negativo. Tali garanzie soddisfano il principio dell’accountability (responsabilità) che nell’ambito del trattamento dei dati coinvolge tutti i soggetti coinvolti. Nel caso in cui il titolare affidi il trattamento di dati a un terzo esterno indentificandolo come responsabile al trattamento, come può essere il caso dei servizi hosting, cloud e provider, dovrà valutarne attentamente l’affidabilità a tutela dei dati degli interessati di cui intende affidargli il trattamento.

L’approccio preventivo e protettivo da parte di ogni titolare del trattamento dati, come lo stesso Regolamento Europeo UE 2016/679 richiede, risiede anche nella scelta di un cloud provider conforme.

Va ricordato inoltre che, in caso di eventi simili, vi è il coinvolgimento in un data breach, ovvero la violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Quanto accaduto alla OVH costituisce a tutti gli effetti una situazione di data breach e, in quanto tale, è soggetta alla notifica all’autorità di controllo entro 72 ore dal momento in cui il titolare ne viene a conoscenza. Nel caso in cui tale violazione comporti un rischio elevato per i diritti delle persone, necessita anche la comunicazione a tutti gli interessati coinvolti. La OVH, pertanto, si trova a dover gestire le reazioni dei clienti per il disservizio e risponderà all’autorità di controllo in merito alle misure adottate per dimostrare la conformità al Regolamento Europeo.

Anche piccole e medie imprese ormai si basano su dati che viaggiano in rete, e non possono permettersi di non prevedere un adeguato disaster recovery plan.

Oltre ogni adempimento imposto, il management aziendale si deve fondare sul buon senso. Non è certamente la dimensione aziendale a fare la differenza, anche piccole e medie imprese ormai si basano su dati che viaggiano in rete, e non possono permettersi di non prevedere un adeguato disaster recovery plan, una procedura che descriva azioni finalizzate a fronteggiare tempestivamente emergenze, quali eventi naturali di seria gravità (terremoti, alluvioni), incendi, attacchi informatici (cybercrime), furti e rapine, incidenti causati da errori umani, malfunzionamenti e danni di natura informatica.

Quando succede qualcosa di imprevisto questo prende il sopravvento su tutto il resto, stravolgendo piani, progetti e priorità. Tempi di inattività e la perdita dei dati costano cari e possono mettere a serio rischio l’esistenza stessa delle aziende, con riflessi negativi sull’affidabilità e la reputazione.

Quali verifiche vanno effettuate prima di affidare i dati a un cloud o a un gestore di servizi in rete?

Le obiezioni dei lavoratori ai corsi sulla sicurezza

Ho deciso di scrivere un articolo scomodo. Un articolo che raccoglie le obiezioni che ho sentito esprimere da più lavoratori durante i miei corsi sulla sicurezza. E non si tratta di obiezioni alla mia docenza, ma all'utilità o all'applicabilità delle nozioni che si cerca di trasmettere.

Ho deciso di scrivere un articolo scomodo. Un articolo che raccoglie le obiezioni che ho sentito esprimere da più lavoratori durante i miei corsi sulla sicurezza. E non si tratta di obiezioni alla mia docenza, ma all’utilità o all’applicabilità delle nozioni che si cerca di trasmettere. Perché pubblicare queste obiezioni? Perché danno l’idea della complessità della situazione e rappresentano gli ostacoli da affrontare se si vuole che la formazione sia efficace. Ma, se si vuole essere intellettualmente onesti, bisogna anche ammettere che offrono spunti per migliorare l’organizzazione del lavoro in azienda.

“Sono cose inutili”

Ci sono casi in cui l'idea che i corsi sulla sicurezza siano inutili è una certezza fondata su due dati:

A volte è solo un pregiudizio. Chi esprime questa opinione si è appena seduto in aula e non saprebbe dire con precisione di che cosa si parlerà. Provare a verificare se cambia idea durante la lezione è un modo per testare la propria capacità di ascolto, qualità essenziale per un docente.

Ci sono casi, però, in cui l’idea che i corsi sulla sicurezza siano inutili è una certezza fondata su due dati:

  1. l’esperienza di innumerevoli volte in cui il lavoro è stato effettuato senza accorgimenti, e senza che nessuno (per fortuna o destino) si sia fatto nulla. Come se il non aver sperimentato direttamente il problema dimostri quanto il problema sia futile o del tutto inesistente;
  2. l’ostilità con cui alcune procedure sono accolte da parte di superiori o proprietà aziendali. In pratica questa ostilità genera una sensazione di impotenza rispetto a un metodo di lavoro che non si può decidere in autonomia, se non rischiando di creare tensioni nei rapporti di lavoro, pur nella certezza della sua bontà. E arriva anche a produrre situazioni di imbarazzo, con personale che viene deriso e sminuito anziché apprezzato per aver ricordato di mettere in pratica quello che gli è stato insegnato.
Oltre a confermare il fatto che la rapidità, considerata sinonimo di produttività, viene spesso prima della sicurezza, questa obiezione rivela quanto sia radicata l'idea che la sicurezza sia un dettaglio slegato dalla quotidianità operativa.

“Non abbiamo tempo di fare quello che dite”

Oltre a confermare il fatto che la rapidità, considerata sinonimo di produttività, viene spesso prima della sicurezza, questa obiezione rivela quanto sia radicata l’idea che la sicurezza sia un dettaglio slegato dalla quotidianità operativa, una cornice entro la quale forzare comportamenti e procedure. E non, al contrario, una componente essenziale del proprio lavoro, necessaria perché lo si possa definire eseguito a regola d’arte.

“Bella la teoria! Però in pratica non funziona così”

Non è sufficiente sapere quali sono i vincoli della sicurezza, ma bisogna anche capire quali sono i principi su cui questi vincoli si fondano: questo è l'unico modo per affrontare le difficoltà operative.

Ci sono tante prescrizioni nella normativa in materia di sicurezza, ma la sicurezza non è solo una lista di obblighi e divieti da mettere in atto. E questa è forse la questione più complicata da trasmettere, quella che rende più immediato lo scontro tra l’approccio burocratico-intellettual-intransigente e quello operativo-maneggione-sbrigativo. Il fatto è che non è sufficiente sapere quali sono i vincoli della sicurezza, ma bisogna anche capire quali sono i principi su cui questi vincoli si fondano: questo è l’unico modo per affrontare le difficoltà operative, le situazioni differenti e mutevoli e tutte le variabili del comportamento umano. L’obiettivo dei corsi sulla sicurezza è far capire che l’antidoto alle difficoltà operative non è trascurare i vincoli di legge, ma trovare una soluzione che non li violi.

Soluzioni ne abbiamo?

Non ho una soluzione efficace alle obiezioni dei lavoratori ai corsi sulla sicurezza. Ho più che altro una proposta, che consiste nel non fare finta di non sentire ma anche nell'evitare di giudicare.

Se avessi una soluzione, cioè una risposta efficace, sempre e comunque, a queste obiezioni, non sarei qui a parlarne. Ho più che altro una proposta, che consiste nel non fare finta di non sentire ma anche nell’evitare di giudicare. Credo che il primo passo da fare sia quello di accogliere queste obiezioni e provare a mostrare la questione da un altro punto di vista, spostando l’attenzione da ciò che sarebbe bello gli altri facessero a quello che ciascuno di noi può iniziare a fare.

Poi, magari, un giorno parlerò delle obiezioni dei datori di lavoro… Poi. Magari.

art. 32 del GDPR: procedura obbligatoria di valutazione

L'art. 32 del GDPR, al comma 1 lettera d), richiede al titolare di definire una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative. Di che cosa si tratta?

In diversi punti il GDPR lascia intendere che il titolare del trattamento deve definire delle procedure per rispondere ai requisiti di protezione dei dati personali. L’unico caso, però, in cui il testo di legge parla esplicitamente di “procedura” è all’articolo sulla sicurezza del trattamento. L’art. 32 del GDPR, al comma 1 lettera d), richiede al titolare di definire una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative. Di che cosa si tratta?

Che cosa non è la procedura dell’art. 32 del GDPR

La procedura di valutazione dell’efficacia non è né la verifica della conformità normativa né l’attività di controllo prevista dall’art. 39 a carico del DPO. Non ha quindi come obiettivo quello di verificare che il trattamento dei dati avvenga nel rispetto dei requisiti di legge e non è un’attività riservata alle sole realtà che dispongano, per scelta o per obbligo, del DPO.

Questa procedura non ha nemmeno a che vedere con l’aggiornamento del registro dei trattamenti o dell’analisi dei rischi, e non equivale all’esecuzione di verifiche / audit regolari.

La procedura di valutazione dell'efficacia non è né la verifica della conformità normativa né l'attività di controllo prevista dall'art. 39 a carico del DPO.

A che cosa serve la procedura dell’art. 32 del GDPR?

Si tratta di un obbligo che si applica al titolare del trattamento (o al responsabile) e ha come obiettivo quello di testare, verificare e valutare l’efficacia delle misure definite dall’organizzazione. Questo significa che:

  1. la procedura deve essere in grado di dimostrare che le misure tecniche e organizzative consentono di raggiungere l’obiettivo di protezione dei dati personali trattati dall’organizzazione;
  2. il titolare ha la possibilità di fare un bilanciamento (valutazione) delle misure rispetto agli interessi e al rischio che deve gestire, per cui la procedura serve per valutare se non siano troppo rigide o dispendiose le misure in atto o se, al contrario, non sia opportuno un loro rafforzamento;
  3. l’attività di test, verifica e valutazione deve essere effettuata con regolarità. Questa regolarità deve essere definita in funzione dell’esposizione al rischio connesso al trattamento dei dati, con una frequenza crescente al crescere dell’esposizione. Tenendo presente che quest’ultima cresce sia in funzione della tipologia e della quantità di dati trattati, sia in funzione della variabilità del contesto interno o esterno (ex. rapidità con cui è necessario apportare modiche tecnologiche o documentali).
Il titolare ha la possibilità di fare un bilanciamento (valutazione) delle misure rispetto agli interessi e al rischio che deve gestire, per cui la procedura serve per valutare se non siano troppo rigide o dispendiose le misure in atto o se, al contrario, non sia opportuno un loro rafforzamento.

In che cosa consiste questa procedura

Per chi ha famigliarità con i sistemi di gestione, può essere utile paragonare la procedura dell’art. 32 del GDPR all’attività di monitoraggio mediante indicatori di prestazione. Si tratta quindi di individuare degli aspetti che si ritengono essere capaci di rappresentare lo stato della situazione nel tempo, di avere in ogni istante il polso della situazione.

Gli indicatori sono valori numerici espressi in termini relativi ( percentuali) in modo che si possa valutare un dato evento in funzione della massa complessiva di dati/ eventi che si stanno considerando. Per ciascun indicatore vengono definiti dei valori di riferimento rispetto ai quali risulti possibile stabilire se la situazione procede in modo sostenibile o se si stanno registrando degli scostamenti potenzialmente problematici.

Ecco un esempio.

Per chi ha famigliarità con i sistemi di gestione, può essere utile paragonare la procedura dell'art. 32 del GDPR all'attività di monitoraggio mediante indicatori di prestazione.

Un esempio di indicatore

La sicurezza informatica è un aspetto importante di ogni realtà aziendale. La scelta dei sistemi informatici è il primo passo per la protezione dei dati personali trattati digitalmente. Testarne, verificarne e valutarne l’efficacia significa in questo caso valutare quanti tentativi di hackeraggio il sistema è stato capace di rilevare, affrontare e impedire. Così facendo, oltre a dimostrare che il processo di gestione della privacy è effettivo, si può anche rilevare la causa di un’eventuale problema, distinguere tra problematiche strutturali (ex. in caso di incapacità del sistema di neutralizzare gli attacchi) e problematiche di investimento (ex. in caso di una spesa ingente rispetto al numero di attacchi registrati), aggiustando il tiro delle misure tecniche e organizzative messe in atto.

Piano pandemico influenzale 2021-2023

Il Piano pandemico influenzale 2021-2023 fornisce indicazioni alle istituzioni, ma nell'Appendice A1 parla di sicurezza sul lavoro.

Contenuto nell’Accordo Stato – Regioni del 25 gennaio 2021, il Piano strategico-operativo nazionale di preparazione e risposta a una pandemia influenzale ha raccolto l’esperienza dell’emergenza sanitaria in corso per aggiornare le linee nazionali in materia di prevenzione delle pandemie influenzali. I destinatari del Piano (PanFlu 2021-2023) sono in primo luogo le istituzioni (Ministero della Salute, Istituto Superiore di Sanità, Protezione Civile e Regioni), ma l’Appendice A1 parla di sicurezza sul lavoro perché tra gli obiettivi del piano c’è anche quello di preservare il funzionamento della società e delle attività economiche.

Distinguere i virus influenzali dai coronavirus

Il Piano pandemico influenzale 2021-2023 ha preso spunto dalla pandemia in corso in quanto il comportamento del nuovo coronavirus ricorda quello dei virus influenzali in termini di dinamica dell’epidemia, capacità di determinare una pandemia e conseguenze cliniche dei casi gravi. Il Piano però non nasce per fornire nuove indicazioni operative in relazione alla pandemia in corso, che continuerà a essere gestita attraverso gli strumenti utilizzati sinora (DPCM e Accordi Stato – Regioni specifici).

Il PanFlu 2021-2023 rappresenta l’aggiornamento di un documento precedente (2006) e si inserisce in un programma di prevenzione sanitaria più ampio, concentrandosi sulla gestione delle pandemie influenzali con l’obiettivo di proteggere la popolazione, tutelare il personale sanitario e, ripeto, preservare il funzionamento della società e le attività economiche.

Il Piano pandemico influenzale 2021-2023 ha preso spunto dalla pandemia in corso in quanto il comportamento del nuovo coronavirus ricorda quello dei virus influenzali in termini di dinamica dell'epidemia, capacità di determinare una pandemia e conseguenze cliniche dei casi gravi.

In sostanza, il Piano fornisce indicazioni alle istituzioni preposte alla gestione degli aspetti sanitari dal livello nazionale a quello locale e introduce a livello aziendale i principi che la pandemia ha reso famigliari.

L’emergenza sanitaria affrontata da febbraio 2020 a oggi ha ricordato che le pandemie hanno la potenzialità di incidere sul normale svolgimento delle attività produttive e che queste ultime possono mettere in campo misure a tutela della salute del proprio personale e, di conseguenza, della propria operatività. Proprio sulla base di questo doppio binario, di obbligo di tutela dei lavoratori e di vantaggio di contenimento del rischio di insostenibilità delle conseguenze economiche, il Piano fornisce gli indirizzi per la definizione di un “piano di preparazione aziendale“.

Piano pandemico influenzale e sicurezza sul lavoro

Il Piano pandemico influenzale è necessario che le aziende si preparino tempestivamente ad adottare piani di preparazione tenendo conto delle loro dimensioni, della loro specifica importanza economica e assumendosi le responsabilità delle strategie da adottare".

L’Appendice A del PanFlu 2021-2023 si fonda su due premesse:

1. una pandemia influenzale può incidere negativamente sull’organizzazione aziendale determinando difficoltà operative ed economiche, a causa della riduzione del personale disponibile (ex. assenteismo per malattia, per assistenza a conviventi malati o per timore di ammalarsi) e della possibile difficoltà di reperire beni necessari a consentire il regolare svolgimento delle attività;

2. tutte le attività lavorative possono essere esposte al rischio di infezione anche se con livelli variabili, e la normativa in materia di salute e sicurezza pone in carico al datore di lavoro l’obbligo di garantire la tutela della salute e sicurezza dei lavoratori a partire dalla valutazione dei rischi.

Sulla base di queste premesse stabilisce che “è necessario che le aziende si preparino tempestivamente ad adottare piani di preparazione tenendo conto delle loro dimensioni, della loro specifica importanza economica e assumendosi le responsabilità delle strategie da adottare“.

Che cosa fare in pratica?

Per prevenire una pandemia influenzale bisogna stimare il fabbisogno di materiale dal punto di vista delle misure igieniche e provvedere al loro approvvigionamento.

Ecco una scaletta per procedere alla definizione di un piano di preparazione aziendale secondo il contenuto dell’Appendice A1 del Piano pandemico influenzale:

  1. identificare il grado di esposizione del personale prima dell’arrivo di una pandemia di influenza;
  2. evidenziare le attività essenziali per l’azienda, i processi e i prodotti più importanti e prevedere una riorganizzazione dei processi di lavoro;
  3. aumentare le conoscenze specifiche sulla pandemia e sulle relative misure da adottare, creando un team di collaboratori formati ed esperti che definisca le procedure da adottare e le modalità di attuazione;
  4. stimare il fabbisogno di materiale dal punto di vista delle misure igieniche, come disinfettanti e mascherine protettive e altre misure fisiche di protezione, e provvedere al loro approvvigionamento;
  5. istruire il personale in merito ai compiti, alle responsabilità e competenze nell’ambito delle misure aziendali di gestione dell’emergenza e al comportamento personale da adottare.
L'Appendice A1 del Piano pandemico influenzale rappresenta una scaletta per procedere alla definizione di un piano di preparazione aziendale.

Tra le misure organizzative da valutare e adottare l’Appendice A1 elenca:

  • la garanzia delle sostituzioni con eventuale reclutamento di personale supplementare o trasferimento di personale, tenendo conto della situazione familiare dei collaboratori e dei possibili obblighi di assistenza che ne possono derivare (ex. cura di familiari malati, custodia di figli in età prescolastica e scolastica in caso di chiusura di asili o scuole);
  • la rinuncia alle attività non urgenti e non assolutamente necessarie;
  • la sospensione di tutte le attività aziendali che prevedono assembramento di persone;
  • l’adozione, sulla base degli aspetti epidemiologici della pandemia, di teleconferenza, telelavoro, modifiche degli spazi di lavoro, installazione di barriere di protezione impermeabili tra i clienti e il personale;
  • la disinfezione delle superfici contaminate con detergenti normalmente reperibili in commercio, con una formulazione attiva nei confronti del patogeno responsabile della pandemia;
  • la programmazione di sanificazioni ordinarie e/o straordinarie degli ambienti.

Tutte valutazioni divenuto famigliari con la pandemia provocata dal nuovo coronavirus.

L'appendice A1 del Piano pandemico influenzale prevede molte misure ormai famigliari dopo la pandemia da nuovo coronavirus.

Altrettanto famigliari sono i comportamenti individuali per i quali l’Appendice A1 prevede che si debba provvedere alla formazione del personale:

  • indossare mascherine chirurgiche o mascherine FFP secondo la valutazione dei rischi;
  • lavarsi spesso le mani con acqua e sapone o, in assenza, con soluzioni idroalcoliche, in particolare dopo aver starnutito, tossito o essersi soffiati il naso;
  • starnutire o tossire in un fazzoletto di carta o nella piega del gomito;
  • mantenere una distanza di sicurezza interpersonale di almeno 1 m (distanziamento fisico);
  • identificare e comunicare precocemente eventuali sintomi influenzali;
  • la necessità di adottare costantemente le misure di protezione individuali per impedire la trasmissione della malattia.

Infine sono previste alcune indicazioni di dettaglio per gli operatori sanitari e le forze dell’ordine.

Quali sono i tempi di attuazione?

Il PanFlu 2021-2023 rappresenta un documento di indirizzo. Non è quindi prevista una data di entrata in vigore del piano a partire dalla quale gli aspetti di sicurezza sul lavoro siano vincolanti e sanzionabili.

Il PanFlu 2021-2023 rappresenta un documento di indirizzo per il governo, gli operatori sanitari, il mondo socioeconomico e la popolazione e ha lo scopo di facilitare, oltre al processo decisionale, l’uso razionale delle risorse, l’integrazione, il coordinamento degli attori coinvolti e la gestione della comunicazione. Non è quindi prevista una data di entrata in vigore del Piano a partire dalla quale gli aspetti di sicurezza sul lavoro siano vincolanti e sanzionabili. Al contrario ogni impresa può da subito utilizzare i contenuti del Piano come riferimento per definire la propria operatività e aggiornare la documentazione di riferimento.

La formazione continua del RSPP “esterno”

L'obbligo dell'aggiornamento per l'RSPP esterno si inquadra nella dimensione della life long learning, cioè della formazione continua nell'arco della vita lavorativa.

Si parla comunemente di RSPP esterno per distinguerlo dal caso in cui la funzione di RSPP è svolta direttamente dal datore di lavoro ma, di fatto, il soggetto che svolge la funzione di RSPP senza essere datore di lavoro può essere sia un consulente esterno sia un dipendente, per questioni di strategia o per obbligo di legge.

I dettagli della formazione dell’RSPP “esterno” sono a oggi definiti dall’Accordo Stato – Regioni del 2016, che ha apportato modifiche alla disciplina precedente (Accordo Stato – Regioni del 2006). Oltre ai requisiti di istruzione/formazione/esperienza previsti per poter svolgere l’incarico, una novità importante e a volte trascurata riguarda la modalità di aggiornamento della formazione di questa figura.

Quante ore di aggiornamento per l’RSPP “esterno”?

La formazione degli RSPP che non sono datori di lavoro prevede un aggiornamento di almeno 40 ore, qualunque sia il settore operativo, nel quinquennio. E la definizione di questo quinquennio è la novità più rilevante dell’Accordo del 2016.

La formazione degli RSPP che non sono datori di lavoro prevede un aggiornamento di almeno 40 ore, qualunque sia il settore operativo, nel quinquennio.

Come si calcola il quinquennio?

La questione del calcolo del quinquennio non è definita in modo univoco.

Partiamo dalle certezze, che riguardano i soggetti esonerati alla frequenza dei corsi specifici (moduli A, B e C), perché in possesso di titoli di studio che abilitano allo svolgimento dell’incarico (art. 32, comma 5 del D. L.vo 81/08 e punto 1, Allegato A dell’Accordo del 2016), e chi si è formato dopo l’entrata in vigore dell’Accordo del 2016:

  • per i primi il calcolo del quinquennio parte dal 15 maggio 2008 (data di entrata in vigore del D. L.vo 81/08) o dalla data di conseguimento della laurea, se successiva al 15 maggio 2008;
  • per i secondi, invece, il calcolo del quinquennio parte dalla conclusione del corso relativo al modulo B comune a tutti i settori.
Mentre il primo quinquennio di aggiornamento della formazione per RSPP esterno sembra calcolarsi in avanti, i quinquenni successivi si devono verificare a ritroso.

A queste indicazioni se ne aggiungono altre tre. L’Accordo precisa che:

  1. è preferibile che il monte ore di aggiornamento venga distribuito nel quinquennio anziché essere concentrato in un unico periodo;
  2. l’obbligo dell’aggiornamento per RSPP “esterni “si inquadra nella dimensione della life long learning, cioè della formazione continua nell’arco della vita lavorativa“;
  3. per poter esercitare la funzione di RSPP (esterno) è necessario dimostrare, in ogni istante, che nel quinquennio antecedente si è partecipato a corsi di formazione per un numero di ore non inferiore a quello minimo previsto.

Quindi, mentre il primo quinquennio di aggiornamento sembra calcolarsi in avanti (dal 15.05.2008, dalla data di laurea o di conclusione del modulo B comune), i quinquenni successivi si devono verificare a ritroso: considerata una data specifica si deve verificare se nel quinquennio precedente è stato raggiunto il monte ore minimo, cioè le 40 ore di aggiornamento.

Una conferma di questa interpretazione è contenuta nella circolare n.296 del 16 ottobre 2018 del Consiglio Nazionale degli Ingegneri. E la conseguenza più immediata è che, per mantenere la qualifica nel tempo, la soluzione più pratica per avere continuità è di prevedere 8 ore di aggiornamento all’anno.

Di fatto non risulta possibile svolgere l'incarico di RSPP esterno sino al completamento dell'aggiornamento mancante, ma non viene meno la validità del percorso formativo effettuato.

In caso di ritardo nell’aggiornamento?

Di fatto non risulta possibile svolgere l’incarico di RSPP sino al completamento dell’aggiornamento mancante, ma non viene meno la validità del percorso formativo effettuato.

Come aggiornare la formazione?

L’aspetto incoraggiante è che l’aggiornamento può essere eseguito interamente in modalità e-learning e, per il 50%, partecipando a consegni o seminari che trattino argomenti coerenti con quelli previsti dall’Accordo per i corsi di aggiornamento.

Inoltre i corsi di aggiornamento per i formatori sicurezza e per i CSP/CSE sono validi anche per l’aggiornamento dell’RSPP.

Privacy e servizi informatici: software e cloud

Software e servizi cloud sono presenti in ogni azienda: i servizi informatici hanno implicazioni sulla privacy che le imprese devono gestire.

L’utilizzo di software con accessi da remoto o installati localmente (su postazioni di lavoro o server) e i servizi cloud rientrano tra le tipologie di trattamento di dati personali ormai tipici di ogni realtà aziendale. Forse per via del carattere di necessità per la quotidianità lavorativa, molte aziende tendono a sottovalutare il legame tra privacy e servizi informatici, complice anche l’impossibilità per l’utente di incidere realmente sulla modalità di gestione dei dati da parte dei fornitori di alcuni di questi servizi. Rispetto alla normativa privacy, però, i processi informatici devono essere considerati al pari di ogni trattamento dati e, quindi, valutati e gestiti.

Inventariare i trattamenti

Della necessità od opportunità di inventariare i trattamenti per poterne valutare i rischi in relazione alla sicurezza dei dati ho già parlato in precedenza. Oggi voglio sottolineare l’importanza di includere i servizi informatici nella propria analisi, inserendo tutti i dettagli opportuni per mettere a fuoco chi interviene nel trattamento e con quali responsabilità.

La gestione privacy e i software

L'utilizzo di software con accessi da remoto o installati localmente (su postazioni di lavoro o server) e i servizi cloud rientrano tra le tipologie di trattamento di dati personali ormai tipici di ogni realtà aziendale.

I software installati localmente (on-premises) prevedono sul fronte privacy aziendale il coinvolgimento del fornitore e del cliente. In questo caso il fornitore si qualifica come responsabile esterno del trattamento e come tale deve essere incaricato dal titolare, prevedendo contrattualmente i relativi compiti e vincoli. Il titolare, invece, dovrà formare e incaricare il proprio personale all’uso corretto dello strumento informatico. In caso di uso illecito da parte del titolare o dei suoi incaricati, il fornitore non può essere considerato responsabile.

In relazione ai software on-premises bisogna fare attenzione all’eventuale distinzione tra il fornitore del software e l’organizzazione che fornisce assistenza all’impresa durante l’uso del prodotto. Se così fosse, si dovrà avere chiaro com’è stata definita la catena contrattuale per disciplinare i rapporti anche sul fronte privacy: se il rapporto contrattuale tra utente e assistenza è diretto , allora si dovrà provvedere alla nomina di un secondo responsabile esterno, altrimenti sarà il fornitore del software a dover vincolare “a cascata” il servizio di assistenza al rispetto della normativa in materia di trattamento dei dati personali.

Nel caso di software in cloud, oltre al fornitore, all'utente (titolare del trattamento) e all'eventuale servizio assistenza, può entrare in gioco un quarto soggetto, il gestore del data center.

Nel caso di software in cloud, oltre al fornitore, all’utente (titolare del trattamento) e all’eventuale servizio assistenza, può entrare in gioco un quarto soggetto, il gestore del data center (il soggetto titolare della struttura fisica che ospita il software in cloud). E qui passiamo al secondo capitolo di oggi, perché le aziende che offrono servizi in cloud non si qualificano come responsabili del trattamento.

La gestione privacy dei servizi cloud

Il responsabile del trattamento è un soggetto che tratta i dati per conto del titolare, cioè è una sorta di braccio operativo, che deve sottostare alle regole definite dal titolare, regole che devono rientrare tra i vincoli contrattuali per esplicita previsione di legge.

Considerato che il titolare del trattamento può influire poco o nulla sulle modalità di gestione di un cloud provider, questo finisce per qualificarsi come un autonomo titolare come accade per tutti i soggetti che, pur trattando dati per conto del titolare, lo fanno con forte o totale autonomia (ex. medico competente), al punto che le clausole contrattuali non sono definibili, e finisce per venire meno anche il carattere strumentale del rapporto con il titolare del trattamento.

Il titolare del trattamento non può né deve nominare il cloud provider come titolare, ma può tracciarne la funzione all'interno del registro dei trattamenti.

Il titolare del trattamento non può né deve nominare il cloud provider come titolare, ma può tracciarne la funzione all’interno del registro dei trattamenti. Inoltre il titolare non deve dimenticarsi che resta a suo carico la responsabilità di scegliere un soggetto adeguato, capace di fornire garanzie alla sicurezza dei dati personali trattati. Quindi dovrebbe verificarne periodicamente l’operato e, nel caso in cui rilevi violazioni, valutare di rivolgersi ad altri fornitori, capaci di offrire maggiori garanzie.