L’azione del DPO nei controlli della supply chain

Nello svolgimento dei propri compiti, il Data Protection Officer interviene anche nei confronti della supply chain e può estendere il proprio campo d’azione oltre le sole attività di trattamento di dati personali, soprattutto nel caso dei settori interessati dalla NIS 2 e dal perimetro di sicurezza nazionale cibernetica.

La verifica della filiera dei fornitori è un adempimento già richiesto dal GDPR, richiamato espressamente dall’art. 28 par. 1 in forza del quale "Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.". La natura di tale obbligo è permanente, pertanto l’adempimento deve essere garantito per l’intera durata del trattamento e deve essere rendicontabile, in ossequio al principio di accountability. Questo rientra nel campo d’azione del DPO, sia nello svolgimento dei compiti di advisoring che di sorveglianza, a partire dalla fase di selezione iniziale e successivamente in quella di monitoraggio.

Stefano Gazzella - Privacy Officer, Data Protection Officer, Responsabile Comitato Scientifico Assoinfluencer - prosegue questa interessante analisi nel suo articolo.

Il link per la lettura del testo