NORMATIVA PRIVACY

Fornitori, valutazione del rischio e adeguamento privacy: le linee guida

È necessario, per qualunque organizzazione, prima selezionare e poi gestire correttamente i propri fornitori, effettuando una corretta valutazione del rischio e verificandone poi la compliance al GDPR e al principio di privacy by design. Ecco un’utile guida pratica

21 Giu 2019
G
Cesare Gallotti

Consulente su sicurezza delle informazioni, qualità e privacy

Un’organizzazione deve prima selezionare e poi gestire correttamente i fornitori. Prima della selezione è necessario condurre una valutazione del rischio, anche considerando quanto richiesto dal GDPR e dal principio di privacy by design.

Vediamo quindi come trattare questo aspetto, presentando anche alcune pratiche scorrette.

Valutare il rischio dei fornitori

Prima di ricorrere ad un fornitore, un’organizzazione dovrebbe valutare il rischio relativo a più aspetti:

  • qualità della fornitura di servizi o prodotti;
  • sicurezza delle informazioni e protezione dei dati personali;
  • disponibilità, continuità e capacità.

È compito del cliente (o, in termini di GDPR, del titolare del trattamento) valutare attentamente il rischio e stabilire quali misure di controllo adottare.

WHITEPAPER
DATI: fonte imprescindibile per le aziende! PROTEGGILI e mantienili CONFORMI alle regole
Big Data
Sicurezza

Per quanto riguarda la qualità, le misure possono includere rapporti di verifica dei servizi e prodotti, o la partecipazione diretta alle verifiche dei servizi e prodotti prima della consegna.

Il cliente può anche richiedere ulteriori garanzie in merito alla formazione del personale:

  • il numero e l’estensione delle verifiche;
  • l’uso di specifici strumenti per la realizzazione dei servizi e dei prodotti o per condurre le verifiche (per esempio: strumenti tarati);
  • la messa a disposizione di rapporti periodici in merito alle prestazioni.

Per quanto riguarda la sicurezza delle informazioni e protezione dei dati personali, le misure riguardano:

  • la sicurezza fisica;
  • il controllo degli accessi;
  • la presenza di specifiche misure di sicurezza nei prodotti e sistemi utilizzati (o messi a disposizione del fornitore) e forniti;
  • la conduzione di vulnerability assessment (VA) periodici, incluse le code review;
  • la condivisione dei rapporti di VA e dei piani di rientro.

Per quanto riguarda la disponibilità, continuità e capacità, le misure includono:

  • verifiche periodiche del carico di lavoro;
  • la scelta di precise strategie di continuità presso il cliente (che quindi deve prevedere l’uso di fornitori alternativi) o presso il fornitore;
  • la previsione di procedure per il passaggio di consegne.

Prima della selezione, per i casi più critici, è quindi possibile prevedere degli audit presso il potenziale fornitore al fine di verificare la reale attuazione delle misure indicate.

Se l’organizzazione non ha le competenze necessarie per indicare le misure da prevedere, può sempre valutare il rischio e poi chiedere ai fornitori di presentare progetti di fornitura appropriati al livello di rischio identificato o chiedere consulenza specialistica a terze parti.

Alla luce di quanto qui accennato, e ricordando che si tratta di un elenco non esaustivo, è possibile trarre una prima conclusione: è sempre compito del cliente stabilire, prima della selezione di un fornitore, quali debbano essere le misure di qualità, sicurezza e continuità che il fornitore deve soddisfare.

Un metodo semplice per la protezione dei dati personali

Quando si vuole ricorrere a fornitori per esternalizzare trattamenti di dati personali, per soddisfare il principio del privacy by design (e anche quello del security by design) è necessario valutare il rischio relativo alla privacy e, come già detto, identificare le misure da prevedere.

Per questo, un metodo molto semplice consiste nell’attribuire un livello di impatto ai trattamenti che si vogliono esternalizzare. Il livello di rischio, anche se non esplicitamente calcolato, sarà sempre direttamente proporzionale al livello di impatto e pertanto potrà essere sufficiente basarsi su quest’ultimo.

È possibile stabilire 4 livelli di impatto e, per ciascuno di essi, è possibile stabilire le misure che un fornitore deve rispettare.

Questo approccio può essere ulteriormente semplificato grazie alla pubblicazione “Handbook on Security of Personal Data Processing” di ENISA (tradotto in italiano da alcuni volontari), che propone già una scala di 4 livelli di impatto e misure di sicurezza suddivise per 3 livelli di rischio.

È quindi possibile associare al livello di impatto basso le misure di colore verde, al livello di impatto medio le misure di colore giallo e ai livelli di impatto alto e altissimo le misure di colore rosso.

Il censimento dei fornitori

Con questo metodo è possibile creare una lista dei fornitori, il livello di impatto dei trattamenti a loro affidati e come si intende affrontare le richieste relative alle misure di sicurezza.

Un esempio è fornito dalla tabella seguente (sono riportati solo alcuni tipi di fornitori e non è esaustiva).

SocietàDati personali trattatiImpattoDecisione
Auditor contabiliOrganigramma nominativoBassoUsare modello standard di addendum contrattuale (misure di livello basso).
FormazionePersone che partecipano alla formazioneBassoUsare modello standard di addendum contrattuale (misure di livello basso).
Consulenti salute e sicurezza dei lavoratoriDati personali anche relativi allo stato di salute.MedioIntegrare contratto con garanzie privacy.
Consulenti legaliDati contratti (clienti e fornitori)
Dati dei dipendenti (cause con dipendenti).
AltoIntegrare contratto con garanzie privacy di livello “medio” applicabili al loro caso.
BancheDati dei dipendenti (stipendio lordo)MedioVerificare le loro clausole
CommercialistaNessun dato personaleN/AN/A
Noleggio autoDati di contatto.
Numero patente.
Dati di localizzazione.
BassoSi dichiarano co-titolari.

Chiedere copia dell’informativa data ai guidatori.

Buste pagaDati anche di salute e di appartenenza sindacale e anche cessioni dei quinti (morosità).
Dati familiari.
AltoIntegrare contratto con garanzie privacy di livello “rosso”.

I questionari ai fornitori

Purtroppo, in questi anni si è affermata la pratica di far compilare ai fornitori e potenziali fornitori questionari relativi alle misure di protezione dei dati personali adottate. Questi questionari non rappresentano alcuna valutazione del rischio né permettono di dimostrare il reale controllo dei fornitori.

Innanzitutto, la gran parte dei questionari richiede solamente se il fornitore rispetta quanto richiesto dal GDPR (“hai un processo per gestire le richieste degli interessati?”, “hai un processo per gestire le violazioni dei dati personali?”, eccetera). Questo approccio ha ovvie carenze:

  • da un punto di vista di efficienza, potrebbe chiedere semplicemente se il fornitore ha applicato quanto previsto dal GDPR;
  • da un punto di vista di efficacia non indaga sulla reale robustezza delle misure di sicurezza, ma solo sulla loro presenza, mentre sappiamo bene che i meccanismi di controllo degli accessi, per fare solo un esempio, possono essere progettati e realizzati in modi molto diversi tra loro;
  • da un punto di vista di significatività sono risibili, visto che domande come “applichi meccanismi crittografici” possono essere interpretati in talmente tanti modi che tutti potrebbero rispondere “sì”;
  • da un punto di vista di trattamento del rischio non si traducono in reali richieste ai fornitori e quindi di azioni di controllo del rischio.

Va aggiunto che, poiché ogni organizzazione realizza questionari organizzati in modo diverso, provocano inutili sovraccarichi di lavoro ai fornitori (e potenziali fornitori) solo per compilare documenti, mentre non è assolutamente questo lo spirito della normativa.

Alcune organizzazioni realizzano questionari potenzialmente più utili, chiedendo maggiori dettagli su come le misure sono realizzate. Ma ancora una volta l’approccio è sbagliato: il cliente deve stabilire le misure di sicurezza e richiedere ai fornitori di applicarle, non chiedere ai fornitori quali misure attuano per poi decidere quali chiedere.

Nel caso in cui un fornitore non possa applicare le misure come richiesto, può proporre alternative ed è compito del cliente valutare se sono equivalenti o comunque accettabili.

Ultima considerazione: l’uso dei questionari è già stato sperimentato per le certificazioni ISO 9001 e le organizzazioni che li hanno adottati oggi non li usano più in quanto si sono rivelati totalmente inutili.

Conclusione

È possibile riepilogare molto brevemente quanto sin qui scritto:

  • i clienti devono valutare il rischio e stabilire le misure di sicurezza che i fornitori devono adottare per il trattamento delle informazioni affidate;
  • le misure di sicurezza vanno stabilite in un documento con valenza contrattuale; se un fornitore non può soddisfare alcune misure, lo deve dichiarare in fase di contrattazione;
  • il cliente può verificare lo stato di applicazione delle misure attraverso audit sul campo; è inutile l’uso di questionari che, in sostanza, richiedono solo se il contratto è rispettato (si tratta di una “misura di carta” senza valore, visto che già il fornitore si è impegnato a rispettare il contratto con la firma);
  • i questionari non permettono né di condurre valutazioni del rischio né di decidere le misure di sicurezza da adottare e pertanto il loro uso va scoraggiato.
WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr