Tre usi frequenti:
- Data Processing Agreement
- Data Protection Addendum
- Data Protection Authority
1. Data Protection Agreement ("DPA")
I primi due sono sinonimi usati occasionalmente con lo stesso acronimo.
Di cosa si tratta ?
Il GDPR chiede che le aziende definiscano meglio i confini delle proprie attivita', per individuare ex ante il responsabile di danni o di violazioni del GDPR stesso.
La figura del titolare e del responsabile del trattamento non sono sufficienti. Entra in gioco il titolare autonomo, una volta chiamato incaricato del trattamento.
In questa babele di termini i cui criteri distintivi affondano le radici nel parere 1 2010 del WP29, i cui termini utilizzati confondono il nuovo lettore, perchè riguardano la precedente normativa, con parole che cambiano totalmente significato, dicevamo in tutta questa babele ogni azienda è stata contattata per farsi nominare responsabile.
Errore gravissimo.
Le aziende hanno dei contratti, è ad essi che bisogna fare riferimento.
A volta contrattualmente si diventa responsabili del trattamento, altre volti terzo titolare autonomo (o incaricato esterno) come si diceva una volta.
Conseguenze ?
Facciamo l'esempio 26: il dipendente che accede illecitamente a dati personali diventa titolare non autorizzato e quindi responsabile di danni e sanzioni amministrative in proprio, secondo il WP29.
E qui inizia il problema di capire quanto l'attenzione terminologica incida sulla sostanza.
Le prestazioni sono decise dal contratto tra cliente e fornitore. La privacy segue, non sostituisce gli accordi.
Quindi più si è precisi, definendo meglio autonomia direttiva e operativa, tanto meno equivoci ci saranno.
Si presti attenzione a chi determina le finalità del trattamento e quali mezzi sono stati realizzati appositamente o erano preesistenti per trattare in un certo modo i dati. I fornitori di pacchetti chiavi in mano non si prestano a deleghe di trattamenti altrui, salvo non li assumano per definizione.
Il rischio maggiore è la confusione delle responsabilità che porterebbe a rispondere in solido per gli inadempimenti dell'altro.
Un esempio concreto ? Il sito del Garante, la cui società di gestione offre l'hosting ma anche la gestione del sito. In questo caso è individuata come responsabile del trattamento.
Per le altre ipotesi si legga l'esempio 16, l'esempio 1 (con la nota 12) , del parere 1 2010 del wp29.
Nella pratica, definite le prestazioni che date, e non cambiatele nell'esecuzione del contratto se non volete che cambino per fatti concludenti.
Il DPA è quindi una condizione generale privacy aggiuntiva per specificare le prestazioni fornite nel rispetto della privacy.
E' in uso sui social postare DPA come noi usiamo Garante. La DPA irlandese è l'autorità irlandese.
Gli acronimi non aiutano mai.