Assistenza TVCC: quali profili privacy deve considerare il fornitore?

Chi fornisce attività di assistenza di un sistema di videosorveglianza deve prestare attenzione ai profili privacy e osservare quanto stabilito dalla normativa di settore (Regolamento UE 2016/679 e D. Lgs. 196/2003).

di Roberta Rapicavoli - Avvocato esperto in Information Technology e privacy e Docente Ethos Academy

I dati personali trattati dal fornitore del servizio come titolare 

Il fornitore del servizio di assistenza tratta, quale titolare del trattamento, i dati personali del cliente. Il riferimento è, concretamente, ai dati identificativi e di contatto del cliente per cui si svolge l’attività. La società fornitrice del servizio, infatti, raccoglie tali dati per dar corso al rapporto contrattuale e osservare gli obblighi di legge in materia contabile-amministrativa, decide se utilizzare i dati anche per fini marketing, stabilisce gli strumenti da impiegare per conservare i dati, individua i soggetti da coinvolgere nelle operazioni e definisce tanti altri elementi di rilievo in termini di trattamento. Il fornitore del servizio è titolare del trattamento di tali dati e deve osservare gli obblighi previsti dalla normativa privacy. 

I profili privacy da considerare per il trattamento effettuato quale titolare 

Il fornitore, nel trattare i dati personali del cliente, deve operare nel rispetto della normativa di settore. Ciò, concretamente, vuol dire, per il fornitore: osservare i principi generali stabiliti dal Regolamento, fornire al cliente apposita informativa privacy, valutare le basi giuridiche del trattamento e richiedere, se necessario, specifico consenso, inserire le specifiche relative al trattamento dei dati del cliente nel registro del trattamento, effettuare un’analisi dei rischi e valutare le misure da adottare per garantire la sicurezza dei dati, svolgere una valutazione di impatto nel caso di rischi elevati, individuare le persone autorizzate al trattamento e fornire loro specifiche istruzioni, sottoscrivere apposito accordo privacy con i fornitori esterni che operano come responsabili del trattamento, valutare l’esistenza delle necessarie garanzie nel caso di eventuali trasferimenti di dati all’estero, adottare procedure per gestire data breach e richieste da parte degli interessati e delle Autorità.

I dati personali trattati dal fornitore del servizio come responsabile 

Chi svolge attività di assistenza che comporta un trattamento di dati personali, gestisce, per conto del cliente, anche i dati acquisiti tramite il sistema di videosorveglianza di competenza. Si pensi, concretamente, ad esempio, alle attività di assistenza software tramite interventi presso la sede in cui è installato il sistema o da remoto: durante lo svolgimento di dette operazioni, il fornitore può accedere alle immagini acquisite tramite il sistema per verifiche relative al suo corretto funzionamento o modifiche delle sue impostazioni. Ciò configura un trattamento di dati personali effettuato per conto del cliente. Si pensi, poi, al caso in cui le attività di assistenza prevedano un supporto nella gestione di eventuali richieste da parte degli interessati o delle Autorità. Anche in tale ipotesi si configura un trattamento di dati personali svolto per conto del cliente. Considerando che, nello svolgimento delle attività di assistenza che comportano un trattamento di dati personali, il fornitore opera per conto del cliente senza un potere decisionale su finalità e mezzi principali del trattamento, lo stesso si configura quale responsabile del trattamento e deve osservare specifici obblighi previsti dalla normativa privacy per chi riveste tale ruolo.

I profili privacy da considerare per il trattamento effettuato quale responsabile

Il fornitore del servizio, quale responsabile del trattamento effettuato nell’ambito delle attività di assistenza, deve sottoscrivere con il cliente apposito accordo privacy, con cui vengono definiti i profili relativi al trattamento svolto per conto del cliente. Il fornitore deve operare nel rispetto delle istruzioni fornite dal cliente con l’accordo privacy e deve osservare gli specifici obblighi derivanti dal rapporto con il cliente e dalla normativa di settore. In concreto, il fornitore, quale responsabile, deve: autorizzare i dipendenti che trattano i dati personali e fornire loro specifiche istruzioni, sottoscrivere apposito accordo sul trattamento con eventuali subfornitori esterni di cui intende avvalersi sulla base degli accordi raggiunti con il cliente, nominare un DPO se l’attività di assistenza comporta, come attività principale, un monitoraggio regolare e sistematico su larga scala, aggiornare il registro delle attività di trattamento svolte per il cliente, effettuare un’analisi dei rischi e valutare le misure da adottare per garantire la sicurezza dei dati trattati, valutare l’esistenza delle necessarie garanzie nel caso di eventuali trasferimenti di dati all’estero, adottare procedure per gestire data breach e richieste da parte degli interessati, delle Autorità e del cliente stesso.