Come noto, la riforma della normativa in materia di protezione dei dati personali ha imposto un nuovo approccio alle aziende: non più una check list di misure da adottare per dirsi compliant alla normativa, ma una valutazione responsabilizzata dei rischi per i diritti e le libertà degli interessati e l’adozione di un apparato di sicurezza adeguato a quei medesimi rischi.
Come era facile immaginare, questo genere di approccio ha via via innalzato il livello di sensibilizzazione dei soggetti chiamati ad applicare la normativa di protezione dei dati. Sempre più frequentemente, infatti, l’obbligo previsto per i Titolari di ricorrere a responsabili del trattamento che “offrono garanzie di protezione dei dati adeguate” sta finalmente divenendo un controllo effettivo e proattivo sul fornitore e sul prodotto offerto, tanto da divenire, nell’ambito degli appalti privati e pubblici, parametro di valutazione dell’offerta, requisito di aggiudicazione della gara e, di conseguenza, anche motivo di esclusione dalla stessa.
Il perché di questa stringente applicazione è facilmente intuibile: il titolare del trattamento può rispondere anche per culpa in eligendo dei fornitori di cui si avvale per lo svolgimento di attività che comportano il trattamento dei dati personali e, come ben sappiamo, le sanzioni previste dal GDPR sono potenzialmente molto impattanti. Proprio recentemente si sono verificati due casi che meritano particolare attenzione.