Navigazione

Outsourcing (affidamento del trattamento a un responsabile)

Outsourcing
(affidamento del trattamento a un responsabile)

Outsourcing: gli aspetti cui occorre prestare attenzione  

Se trasmettete il trattamento di dati personali a un responsabile del trattamento (p. es. fornitori di servizi di cloud, web host, spedizionieri, call-center, fiduciarie o imprese di supporto IT), rimanete responsabili della protezione dei dati. Dovete garantire che i dati siano trattati conformemente al contratto o alla legge.

Il titolare del trattamento (mandante) deve garantire attivamente che il responsabile del trattamento rispetti la legge in misura uguale a lui. Ciò riguarda in particolare il rispetto dei principi generali, delle regole relative alla sicurezza dei dati e delle regole relative alla comunicazione all’estero. Analogamente a quanto previsto nell’articolo 55 del Codice delle obbligazioni (CO), il titolare del trattamento deve impedire le violazioni della legge federale sulla protezione dei dati (LPD) (responsabilità del padrone d’azienda). Deve pertanto scegliere con cura il responsabile del trattamento, istruirlo in modo adeguato e sorvegliarlo nella misura del necessario.

I trattamenti in seno a una stessa persona giuridica (succursale, unità amministrativa, collaboratore) non costituiscono in linea di principio un caso di conferimento del trattamento a un responsabile. 

Obblighi del responsabile del trattamento

  1. Il responsabile del trattamento deve adempiere ai suoi obblighi nei confronti del titolare del trattamento, in particolare deve comunicargli le violazioni della sicurezza dei dati, affinché il titolare del trattamento possa adempiere al suo obbligo nei confronti dell’IFPDT di cui all’articolo 24 capoverso 1 LPD.  
  2. Di principio il responsabile del trattamento non può trattare dati personali a fini propri. Per un simile cambiamento dello scopo del trattamento è necessario che egli faccia valere un proprio motivo giustificativo.

Obblighi del titolare del trattamento

Il titolare del trattamento è obbligato secondo l’articolo 9 LDP ad assicurare e a garantire contrattualmente che:

  1. il responsabile del trattamento effettui soltanto i trattamenti che il titolare dei trattamenti avrebbe il diritto di effettuare
    Occorre assicurare che il responsabile del trattamento tratti i dati trasmessi soltanto conformemente alle istruzioni del mandante e disciplinare le modalità di trasmissione di tali istruzioni. 
  2. nessun obbligo di serbare il segreto sia violato
    In determinate circostanze i dati sottostanno agli obblighi legali o contrattuali di serbare il segreto (p. es. al segreto professionale, al segreto bancario, al segreto d’ufficio ecc.). In questo caso occorre esaminare se la delocalizzazione di dati considerati segreti non conduca a una violazione dell’obbligo di mantenere il segreto del titolare del trattamento. 
  3. il responsabile del trattamento prenda misure adeguate per garantire la sicurezza dei dati
    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. 
    Oltre all’esame e alla garanzia contrattuale delle misure tecniche e organizzative prese dal responsabile del trattamento allo scopo di proteggere i suoi sistemi e i dati trattati, può rivelarsi opportuno esaminare in quale modo il responsabile del trattamento assicura che le misure implementate sono adeguate al rischio, efficaci e corrispondenti allo stato attuale della tecnica. Al riguardo sono utili ad esempio audit e certificazioni. 
  4. il trattamento possa essere affidato a un terzo soltanto con l’approvazione del titolare del trattamento
    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto con la previa approvazione del titolare del trattamento. Nel settore privato l’approvazione non è vincolata a una forma particolare. Il responsabile del trattamento deve tuttavia provare che l’approvazione è stata data. Essa può consistere in una dichiarazione di consenso generale. In tal caso il responsabile del trattamento deve informare il titolare del trattamento in merito a ogni modifica (coinvolgimento o sostituzione di altri responsabili del trattamento), affinché lo stesso possa farvi opposizione. 
  5. il titolare del trattamento rimanga in misura di adempiere ai suoi obblighi nei confronti dell’autorità di vigilanza e delle persone interessate 

Al riguardo può essere appropriato prendere accordi contrattuali (p. es. obbligo di collaborazione) e misure organizzative volte ad assicurare che i dati delocalizzati possano essere all’occorrenza cancellati, corretti e reperibili in caso di trattamento di una richiesta di informazioni. 

Comunicazione di dati all’estero

Se, nell’ambito della delocalizzazione, sono comunicati dati all’estero, è inoltre necessario che sia esaminato sei Paesi in cui i dati sono trattati dispongono di un adeguato livello di protezione dei dati.

Questo passo presuppone l’informazione sui luoghi in cui sono trattati i dati, nonché sulla sede del responsabile del trattamento (o di un terzo cui è affidato il trattamento). Se il detentore di dati / fornitore di servizi di cloud si trova in un Paese che non offre un livello di protezione dei dati paragonabile a quello svizzero, o se i dati sono trattati in Paesi che non offrono un adeguato livello di protezione rispetto alla Svizzera, la loro comunicazione non può aver luogo automaticamente: devono essere prese misure al fine di garantire che la trasmissione di dati benefici di una protezione adeguata dei dati all’estero. Si rinvia al riguardo alle nostre spiegazioni sulla comunicazione di dati personali all’estero.  

Utilizzazione di servizi di cloud

L’archiviazione di dati in un cosiddetto cloud costituisce di principio un caso di applicazione del trattamento da parte di un responsabile di dati, il quale deve adempiere le condizioni corrispondenti. Ulteriori informazioni al riguardo sono disponibili nelle nostre spiegazioni riguardanti i trattamenti di dati nel cloud. 

Trattamento di dati nel cloud

Diritti degli interessati

Quali persone interessate, potete fare valere i vostri diritti (cfr. «i miei diritti») direttamente nei confronti del titolare del trattamento. Anche se il trattamento di dati personali viene affidato a più responsabili, il titolare del trattamento permane responsabile per la comunicazione dell’informazione. Qualora non sia in grado di fornire personalmente l’informazione, il titolare del trattamento deve inoltrare la richiesta al responsabile del trattamento. Quest’ultimo ha l’obbligo di sostenere il titolare del trattamento nella comunicazione dell’informazione, per quanto non risponda egli stesso alla richiesta su incarico del titolare del trattamento. 

Diritto d’accesso

Certificazioni in materia di protezione dei dati

La certificazione di sistemi, prodotti e servizi favorisce la trasparenza dei trattamenti di dati.

Comunicazione di dati personali all’estero

La comunicazione di dati personali all’estero sottostà a regole particolari. Prima di comunicare dati all’estero occorre prestare attenzione a quanto segue.

Trattamento di dati nel cloud

Sempre più aziende e autorità utilizzano servizi di cloud e delocalizzano dati o trattamenti di dati a fornitori di cloud

Dichiarazioni relative alla protezione dei dati in Internet

Chi necessita di una dichiarazione relativa alla protezione dei dati e che cosa deve contenere questa dichiarazione?

Domande sulla protezione dei dati

Consultate le nostre FAQ o chiamate la nostra hotline.

Vigilanza

Accesso rapido alle raccomandazioni sulla protezione dei dati, alle azioni legali e ai registri.

Innovazioni principali

Qui potete trovare le informazioni sulla LPD, entreta in vigore l'1.9.2023.

Webmaster
Ultima modifica 24.08.2023

Inizio pagina