Che cos’è il trattamento dei dati commissionato?

L’elaborazione dei dati a contratto (CDP) si riferisce all’elaborazione dei dati personali da parte di un fornitore di servizi esterno per conto di un’azienda. Dall’entrata in vigore del GDPR, ora si usa il termine elaborazione degli ordini (ODP). La base giuridica si trova in Art. 28 GDPR.

In concreto, ciò significa che un’azienda che raccoglie dati di clienti, dipendenti o fornitori può esternalizzare questo trattamento a un fornitore di servizi specializzato. Tuttavia, questo incaricato non può utilizzare i dati per i propri scopi, ma solo in conformità alle specifiche dell’azienda che è considerata il responsabile del trattamento. In questo modo si garantisce che i dati personali siano protetti anche se non vengono elaborati direttamente all’interno dell’azienda.

Whitepaper Selezione del fornitore ERP: Ottieni il massimo dai tuoi workshop ERP

Whitepaper gratuito

Esistono innumerevoli fornitori di ERP. Continua a leggere per scoprire a cosa devi prestare attenzione quando fai la tua scelta.
Richiedi ora gratuitamente

Elaborazione dei dati dell’ordine nel contesto ERP

Im Zusammenhang mit ERP-Systemen (Enterprise Resource Planning) spielt die Auftragsverarbeitung eine besonders wichtige Rolle. Immer dann, wenn ein ERP-System nicht lokal auf den Servern des Unternehmens installiert ist, sondern als Cloud- oder SaaS-Lösung genutzt wird, verarbeitet der ERP-Anbieter oder ein externer IT-Dienstleister personenbezogene Daten im Auftrag des Unternehmens, wie zum Beispiel:

  • Dati dei clienti e informazioni sui fornitori nella gestione delle merci
  • Dati dei dipendenti nei moduli di contabilità delle risorse umane o delle retribuzioni
  • Dati finanziari e contabili nella contabilità
  • Dati del progetto con riferimenti personali nei moduli di gestione del progetto

Poiché tutti questi dati sono spesso critici per l’azienda e sensibili, è indispensabile che venga stipulato un accordo per il trattamento dei dati. (AVV) deve essere stipulato. Questo regola le condizioni in cui il fornitore di ERP o di servizi IT elabora i dati per conto dell’azienda.

Esempio PMI: un’azienda di produzione di medie dimensioni decide di adottare un ERP in cloud. I dati dei clienti, gli elenchi dei pezzi e le informazioni sui fornitori non vengono più archiviati localmente, ma vengono elaborati sui server del fornitore dell’ERP. In questo caso, l’azienda deve stipulare una DPA con il fornitore che regoli esattamente il trattamento dei dati dei clienti e le misure di sicurezza da applicare.

Esempio di gruppo: un gruppo internazionale utilizza un sistema ERP che viene utilizzato da diverse sedi in tutto il mondo. Oltre all’elaborazione centralizzata dei dati della contabilità finanziaria, sono interessati anche i dati relativi alle risorse umane di diversi paesi. In questo caso non è solo la DPA con il fornitore dell’ERP a svolgere un ruolo importante, ma anche l’integrazione e la verifica di numerosi subappaltatori e centri dati.

Obblighi del cliente

Anche se il trattamento effettivo viene effettuato da un fornitore di servizi, l’azienda stessa rimane responsabile del rispetto delle norme sulla protezione dei dati. Il GDPR assegna chiaramente la responsabilità principale al cliente. Gli obblighi tipici sono:

  • Selezione accurata del fornitore di ERP o di servizi IT: prima di concludere un contratto, è necessario verificare se il fornitore implementa le misure tecniche e organizzative necessarie per proteggere i dati.
  • Conclusione di un DPA: senza questo contratto, il trattamento non è legalmente autorizzato. La DPA costituisce la base per qualsiasi forma di trattamento dei dati commissionato.
  • Obblighi di monitoraggio e documentazione: L’azienda deve verificare regolarmente se il fornitore rispetta le misure concordate e documentarlo. Gli audit e le prove sono standard in questo caso.
  • Controllare i subappaltatori: Molti fornitori di ERP collaborano con fornitori di hosting o cloud. Anche questi devono essere registrati e controllati contrattualmente.

Esempio: un’azienda utilizza un ERP in cloud che viene gestito sui server di un grande hyperscaler (ad esempio AWS o Azure). L’azienda deve non solo stipulare un DPA con il fornitore dell’ERP, ma anche assicurarsi che il fornitore abbia integrato correttamente i propri subappaltatori.

Contratto di elaborazione ordini (AVV)

Una DPA è il documento centrale che regola la collaborazione tra il cliente e l’incaricato del trattamento. Definisce in modo vincolante quali dati possono essere trattati, come, per quale scopo e secondo quali standard di sicurezza. Una DPA deve contenere, tra gli altri, i seguenti punti:

  • Finalità e durata del trattamento: quali dati vengono trattati e per quanto tempo?
  • Tipo e finalità del trattamento: ad esempio, contabilità paghe, CRM o contabilità finanziaria.
  • Categorie di soggetti interessati: Clienti, dipendenti, fornitori o partner commerciali.
  • Diritti e obblighi del responsabile del trattamento: Quali diritti di controllo ha l’azienda, come è organizzata la collaborazione?
  • Misure tecniche e organizzative (TOM): Quali misure di sicurezza implementa il fornitore (ad esempio, crittografia, controlli di accesso)?
  • Regolamenti sui sub-processori: il fornitore ERP può utilizzare altri fornitori di servizi e, in caso affermativo, a quali condizioni?

Mentre la vecchia legge federale sulla protezione dei dati (BDSG) prevedeva l’obbligo di un contratto scritto, il GDPR consente ora anche una forma digitale, ad esempio tramite firma elettronica.

Cambiamenti dovuti al GDPR

Il GDPR ha introdotto alcune innovazioni significative rispetto al vecchio BDSG:

Responsabilità condivisa degli incaricati del trattamento: a differenza del passato, anche i fornitori di servizi sono responsabili del rispetto delle norme sulla protezione dei dati. Possono essere ritenuti responsabili in caso di violazioni.

Controllo congiunto: se più parti decidono congiuntamente le finalità e i mezzi del trattamento dei dati, si parla di responsabilità congiunta. In questo caso, tutte le parti coinvolte sono persone di riferimento per gli interessati.

L’obbligo di seguire le istruzioni rimane in vigore: Anche in base al GDPR, il fornitore di servizi può trattare i dati solo in conformità alle istruzioni dell’azienda. Se prende decisioni non autorizzate, diventa lui stesso il responsabile del trattamento, con tutte le conseguenze legali del caso.

Esempio per il contesto ERP: l’uso congiunto di un ERP in cloud da parte di una società madre e della sua filiale. Entrambe le parti stabiliscono congiuntamente quali dati vengono elaborati, quali diritti di accesso esistono e per quali scopi avviene l’elaborazione. In questi casi si parla di controllo congiunto e un chiaro accordo contrattuale è fondamentale per definire chiaramente le responsabilità.

Avviso legale:

I contenuti gratuiti e liberamente accessibili di questo sito web sono stati creati con la massima cura possibile. Tuttavia, segnaliamo espressamente che non ci assumiamo alcuna garanzia o altra responsabilità per l’accuratezza, l’attualità o la completezza delle guide giornalistiche e delle informazioni fornite su questo sito.

Il contenuto di questo sito web non è da intendersi come consulenza legale per la tua azienda su cui puoi fare affidamento per la conformità alle normative legali sulla protezione dei dati – in particolare il GDPR – né può sostituire la consulenza legale individuale.

Inoltre, accedendo a questi contenuti gratuiti e liberamente accessibili, non si instaura alcun rapporto contrattuale tra noi e l’utente del sito web in assenza di una corrispondente volontà giuridicamente vincolante da parte nostra.

Whitepaper Selezione del fornitore ERP: Ottieni il massimo dai tuoi workshop ERP

Whitepaper gratuito

Esistono innumerevoli fornitori di ERP. Continua a leggere per scoprire a cosa devi prestare attenzione quando fai la tua scelta.
Richiedi ora gratuitamente

FAQ sull’elaborazione dei dati degli ordini (ADV):

Che cos’è l’elaborazione dei dati dell’ordine (ADV)?

Elaborazione di dati personali da parte di un fornitore di servizi esterno per conto di un’azienda. Il GDPR utilizza solitamente il termine ”elaborazione degli ordini”.

Quando è necessario un DPA con un fornitore di ERP?

Ogni volta che i dati personali vengono elaborati dal fornitore ERP o dai suoi subappaltatori, ad esempio con soluzioni ERP o SaaS in cloud.

Chi è il responsabile del trattamento e chi è l’incaricato del trattamento?

L’azienda che utilizza l’ERP è il responsabile del trattamento. Il fornitore dell’ERP o un fornitore di servizi IT di supervisione è l’incaricato del trattamento.

Quali dati vengono tipicamente generati nell’elaborazione degli ordini dell’ERP?

Dati dei clienti, dati dei dipendenti, informazioni sui fornitori, dati finanziari e contabili o dati di progetto.

Cosa succede senza AVV?

Senza un DPA valido, il trattamento è illegale. Le aziende rischiano non solo multe salate, ma anche la perdita di fiducia da parte di clienti e partner commerciali.