7. non trasferisce i dati a nessuna persona, ad eccezione di un altro responsabile del trat- tamento, senza l’esplicito consenso dell’interessato ottenuto dal Titolare del tratta- mento nell’ambito del rapporto diretti che questo ha con l’interessato; 8. sviluppa, implementa e mantiene ragionevoli misure tecniche ed organizzative volte a proteggere la sicurezza e la riservatezza dei dati trattati (come nell’articolo 32 del GDPR, anche nell’ADPPA vi è un obbligo diretto e specifico di security proprio del re- sponsabile del trattamento); 9. fornisce una notifica diretta delle modifiche sostanziali alla sua privacy policy a ogni Titolare del trattamento per conto del quale tratta i dati personali, in ogni lingua in cui la privacy policy è stata resa disponibile. > I RAPPORTI TRA TITOLARE E RESPONSABILE DEL TRATTAMENTO In primo luogo, la section 302(e)(1)(A) obbliga il Titolare del trattamento ad applicare una “ragionevole e dovuta diligenza” nella fase di selezione del responsabile del trattamento ( mutatis mutandis , ove previsto, il responsabile del trattamento è soggetto al medesimo obbligo nella scelta del sub responsabile). Anche il Legislatore USA richiede – come l’articolo 28, comma 1, del GDPR - che nella fase selettiva il Titolare del trattamento accerti le caratteristiche di competenza, affidabilità e il possesso delle garanzie sulle idonee misure tecniche e organizzative del responsabile, ai fini della tutela dei dati che poi saranno trattati per conto del Titolare. Anzi, questi obblighi specifici e qualificati di diligenza l’ADPPA li prescrive – rivelandosi sul punto stringente quanto e forse anche più del GDPR – anche nella selezione delle terze parti, cioè di fornitori in genere a cui vengono comunicati dati personali nell’ambito dei normali rapporti contrattuali di fornitura. Tra l’altro, l’ADPPA prescrive che entro due anni dalla data di entrata in vigore la Federal Trade Commission pubblichi una guida con indicazioni di conformità su come svolgere le ragionevoli valutazioni di adeguatezza del responsabile del terzo (e delle terze parti), te- nendo conto degli oneri per le piccole e medie imprese. In secondo luogo, i rapporti tra Titolare e responsabile del trattamento (e tra responsabile del trattamento e sub responsabile del trattamento, ove del caso) devono essere disciplina- ti da un “contratto scritto” (l’ADPPA non prevede alternative, non essendovi riferimenti, come nel GDPR, ad “altro atto giuridico” alternativo al contratto) che per lo meno, quale contenuto minimo: 1. disciplini le procedure di trattamento dei dati svolto per conto del Titolare del trattamento;
67
Made with FlippingBook Online newsletter maker