Riportiamo di seguito l’articolo di Silvia Rizzo, partner dello Studio Legale Faotto – Tricarico, pubblicato sul magazine “The Procurement – Digital Supply Chain & e-Procurement” (Anno 4 Numero 3) nella sezione Legal.
Ascolta l’articolo
La digitalizzazione del processo di acquisto, nota come e-procurement, è diventata e sarà sempre più fondamentale per i processi di innovazione delle organizzazioni aziendali. L’impiego delle tecnologie informatiche per la gestione dell’intero processo “Procure-to-pay” è in grado di apportare considerevoli vantaggi competitivi e migliorare i processi di business.
I servizi offerti permettono un monitoraggio continuo dei processi di acquisto ed una gestione più efficiente dell’intero ciclo dell’ordine o di alcune fasi di esso. Anche i processi di approvvigion
amento e fatturazione diventano più efficienti e completamente elettronici grazie a tali tecnologie: basti pensare al riassortimento automatico e alla tracciabilità dei prodotti all’interno del magazzino.
Il tutto attraverso software, cloud e soluzioni di outsourcing messi a disposizione da numerosi provider.
Occorre, tuttavia, fare attenzione a come viene regolato il rapporto con i fornitori di tali servizi, considerato l’ingente traffico di dati che implicano.
Il GDPR (Reg. UE 679/2016) è divenuto definitivamente applicabile dallo scorso 25 maggio 2018 e, come ormai noto, impone alle aziende di adeguare il proprio sistema di gestione dei dati alla normativa europea.
Il Regolamento stabilisce infatti indicatori precisi che debbono ricorrere nei rapporti contrattuali tra il Titolare del dato e il soggetto incaricato del trattamento, sia esso un fornitore tradizionale o un outsoucers oppure un cloud service provider. Ciò ai fini del rispetto del principio della cosiddetta “accountability” (responsabilizzazione) del Titolare, al fine di poter dimostrare che il trattamento dei dati avviene in maniera conforme alla legge.
L’art. 28 del GDPR prevede, in particolare che il Responsabile del Trattamento:
a. tratti i dati personali soltanto su istruzione documentata del titolare del trattamento
b. garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza
c. adotti tutte le misure richieste ai sensi dell’articolo 32 del Regolamento;
d. rispetti le condizioni previste dal Regolamento per ricorrere a un altro responsabile del trattamento;
e. assista il titolare del trattamento con misure tecniche e organizzative adeguate al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato;
f. assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del Regolamento, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
g. su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo obblighi di conservazione dei dati;
h. metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.
Pertanto, se gli operatori del Procurement intendono avvalersi di servizi e di infrastrutture digitali per gli acquisti, dovranno, previa attenta valutazione del rischio, scegliere fornitori che presentino garanzie sufficienti, in particolare in termini di affidabilità e risorse sufficienti per mettere in atto le misure tecniche ed organizzative che soddisfino quanto richiesto dal Regolamento. L’azienda dovrà poi stipulare con essi contratti scritti che presentino i contenuti minimi sopra indicati.
Se il fornitore si assume il rischio del trattamento dati, significa che l’azienda, titolare del dato, può “stare tranquilla”? Non è detto. Il GDPR non è improntato sulla deresponsabilizzazione. Anzi, al contrario, introduce un nuovo principio di responsabilità: non solo è necessario rispettare, ma anche dimostrare la conformità ai principi del Regolamento, con riferimento alla scelta del soggetto al quale affidiamo il trattamento dei dati aziendali.
