LA GUIDA PRATICA

Compliance aziendale GDPR: checklist per il professionista privacy

Nel percorso verso la compliance aziendale al GDPR occorre tenere sotto controllo due filoni principali: il modello di gestione della data protection e la documentazione. Ecco un’utile checklist di cui si dovrà dotare il professionista incaricato di garantire il rispetto della data protection nella propria organizzazione

21 Apr 2020
F
Gabriele Faggioli

Giurista, CEO di P4I – Partners4Innovation


All’interno di ogni organizzazione c’è sicuramente una persona che è stata investita della responsabilità di gestire la privacy: è quindi utile proporre una checklist per mettere in condizione questa figura (Privacy Officer, Compliance Manager o come altro è stato deciso di chiamarla) di avere sempre tutto sotto controllo per raggiungere la necessaria compliance aziendale GDPR.

Compliance aziendale GDPR: l’accountability

La prima cosa da tenere presente è l’ormai famoso concetto di accountability, tradotto con responsabilizzazione, ovvero la necessità di individuare e mettere in campo misure adeguate alla corretta protezione dei dati personali trattati, unita alla capacità di dimostrare quanto fatto e le motivazioni delle scelte adottate.

Come ormai avremo imparato, è finito il tempo delle indicazioni puntuali da parte del legislatore sulle misure da adottare: l’onere di individuare le misure tecniche e organizzative adeguate (sulla base dell’analisi dei rischi) è in capo al titolare del trattamento, che dovrà poi metterle in pratica e documentarle. Ciò significa che non è più possibile basarsi su liste precompilate di adempimenti uguali per tutti ma, attenzione, non significa che non siano previsti adempimenti.

Ecco quindi il senso attuale di una checklist: non una lista dispositiva ma uno strumento per aiutare a non perdersi pezzi lungo il cammino.

Potremmo cominciare dalle due cose che il Colonnello Menegazzo (Comandante del Nucleo Speciale Privacy della Guardia di Finanza) ama dire che di solito chiede per prime, quando si presenta per una visita ispettiva: “voglio parlare con il DPO” e “fatemi vedere il registro”. Questi due spunti ci aiutano a tratteggiare i due filoni principali da tenere sotto controllo: il modello di gestione della data protection e la documentazione.

Cruscotto per DPO: La cassetta degli attrezzi tecnologica che ti aiuta, clicca qui e scopri lo strumento!

Modello di gestione della data protection

Partiamo dal primo: il DPO potrebbe anche non esserci, non è un obbligo per tutte le organizzazioni. Se c’è o meno dipenderà dal modello organizzativo scelto, scelta che sarà documentata da una delibera del CdA con annesse valutazioni e motivazioni della scelta.

E il modello organizzativo sarà proprio una delle tre policy di alto livello che compongono il Modello di gestione, insieme al modello architetturale e al modello di controllo.

Il modello organizzativo è particolarmente cruciale, in quanto definisce ruoli e responsabilità di tutti i soggetti coinvolti a vario livello nella gestione della data protection, in particolare nelle funzioni di:

  • Governance (es. soggetto delegato dal titolare, Comitato Data Protection e/o Privacy Officer);
  • Execution (eventuali referenti interni, autorizzati al trattamento, responsabili esterni);
  • Controllo (internal audit, referenti di linea, eventuale DPO).

Dalla definizione di queste figure e delle responsabilità loro assegnate (che può essere diversa per ogni realtà aziendale) discenderanno le necessarie procedure per la gestione di:

Il contenuto di tali procedure, infatti, in termini di “cose da fare”, non varia da azienda ad azienda: è già definito dal GDPR. Ciò che rende differenti le procedure di una organizzazione da quelle di un’altra sta proprio nel “chi fa che cosa”, che dovrà essere coerente con il modello organizzativo definito a monte.

A queste procedure sarà poi opportuno affiancare Linee Guida su diverse materie quali la data retention, la gestione delle risorse informatiche e le misure di sicurezza fisiche (controllo accessi).

Procedure e Linee Guida saranno corredate da modelli utilizzati nell’esecuzione delle azioni previste dalle stesse:

  • modelli di registri dei trattamenti (per il titolare e per il responsabile);
  • modelli di informative (per i diversi tipi di interessati) e di richiesta del consenso;
  • modelli di nomina per il DPO, per i soggetti interni (autorizzati al trattamento, referenti, comitato DP, privacy manager, amministratori di sistema) ed esterni (responsabili del trattamento);
  • modelli di comunicazione (data breach e diritti degli interessati);
  • modelli di clausole contrattuali;
  • modelli di checklist per i controlli e di audit report.

È importante accertarsi, quindi, per prima cosa della presenza e adeguatezza di tutte le componenti che concorrono alla completezza del modello.

Compliance aziendale GDPR: la documentazione

In termini di accountability, sarà poi indispensabile essere in grado di dimostrare l’effettiva implementazione del modello di gestione della data protection stesso attraverso una serie di documenti, a partire da: delibera del CdA di adozione del “Modello di gestione della protezione dei dati personali”, registro delle nomine del personale, lettere di nomina controfirmate, atti di designazione (e delibere del CdA) per eventuali Soggetti Delegati e DPO.

Anche l’applicazione delle disposizioni interne andrà documentata:

  • censimento delle attività di trattamento di dati personali (registri dei trattamenti);
  • gestione delle richieste di esercizio da parte degli interessati (registro delle richieste);
  • progetti in ottica by design (registro delle nuove iniziative);
  • gestione dei data breach (registri degli incidenti e delle violazioni, analisi, comunicazioni);
  • esecuzione dell’analisi dei rischi (relazione dell’analisi, mappatura applicativi, elenco delle misure in essere e in programma);
  • esecuzione di DPIA (analisi sulla loro necessità, valutazioni di impatto eseguite, eventuali consultazioni preventive);
  • gestione dei fornitori (registro dei responsabili, checklist di valutazione dei fornitori);
  • trasferimento dati extra UE (registro dei trasferimenti, garanzie applicate).

È importante sottolineare che per tutta questa documentazione dovrà essere verificata non solo la presenza, la effettiva disponibilità (sapere dove si trova e/o chi è l’owner che possa averne accesso) e l’adeguatezza alla normativa ed alle disposizioni interne, ma anche il regolare aggiornamento (data di creazione e di ultimo aggiornamento, gestione del versioning).

Poche cose sono pericolose come una documentazione fatta ai tempi del progetto di adeguamento al GDPR e poi abbandonata (al punto di non sapere nemmeno più dove sia…).

Fra gli altri domini da presidiare e documentare segnaliamo le iniziative di informazione della popolazione aziendale: non serve a nulla definire a approvare procedure interne se le stesse non sono note e facilmente accessibili a chi le dovrebbe applicare quotidianamente nello svolgimento delle sua attività lavorative.

Ricordiamo anche le attività legate al mondo della formazione, indispensabili per radicare la consapevolezza dei principi privacy e delle loro modalità di applicazione:

  • assessment iniziale delle competenze (per costituire una baseline su cui basare successive verifiche);
  • piano della formazione (generale e specifico per alcune funzioni più critiche);
  • erogazione della formazione (in presenza o a distanza);
  • verifica dell’efficacia attraverso ripetizione dell’assessment.

L’insieme di queste fasi dovrà contribuire a costituire una base documentale ben diversa dai vecchi registri d’aula accuratamente firmati, che testimoniavano solo la presenza fisica ma non certo l’apprendimento: invece è proprio questo l’obiettivo della formazione e questo deve essere misurato e documentato.

Compliance aziendale GDPR: il sistema di controllo

Infine, non dimentichiamo che nessun modello, per quanto ben disegnato e applicato, sarà mai in grado di funzionare correttamente se non sottoposto a costante ed attenta verifica. Il sistema di controllo prende le mosse dal modello, che nelle realtà più complesse potrebbe assegnare responsabilità di controllo a diversi livelli, a partire dai responsabili di linea delle diverse funzioni, passando per l’internal audit e/o la compliance, fino al DPO.

Lungo le diverse fasi dovranno essere documentati:

  • il piano dei controlli (comprese le motivazioni per le scelte dei reparti o processi da sottoporre ad audit);
  • le checklist di controllo e le evidenze raccolte sul campo;
  • gli audit report e i relativi remediation plan.

Particolare rilevanza assumeranno i proprio i piani proposti per il rientro da eventuali non-conformità rilevate e la verifica della loro effettiva adozione attraverso apposite sessioni di follow-up, da prevedere per ciascun controllo. A che servirebbe infatti svolgere controlli, rilevare scoperture, segnalare rimedi e poi lasciare tutto come prima, senza verificare se è stato messo in campo un percorso di rientro dalle criticità rilevate?

Inoltre il mondo dei controlli non potrà basarsi solo sui controlli periodici delle funzioni preposte, ma dovrà essere integrato da un costante “flusso informativo” verso il Privacy Officer (e il DPO) che offra visibilità a tutte quelle novità di business, organizzative, tecnologiche, oppure legate ai fornitori o alle modalità di trattamento dei dati personali (nuovi trattamenti, nuove tipologie di dati trattati o di interessati, cambio dei criteri di retention ecc.) che possano richiedere l’aggiornamento dei registri, delle informative, delle nomine, delle procedure o di altra documentazione, nonché una possibile revisione dell’analisi dei rischi o l’avvio di DPIA o l’approccio by design alle nuove iniziative.

Tale flusso dovrà essere:

  • sollecitato alle funzioni operative (le uniche al corrente di quanto avviene quotidianamente al loro interno);
  • analizzato per trarne le opportune conseguenze;
  • rendicontato periodicamente.

L’insieme di questi passaggi costituisce dunque la “checklist” di cui si dovrà dotare il professionista incaricato di garantire il rispetto della data protection all’interno della propria organizzazione e raggiungere la compliance aziendale GDPR.

P4I - White Paper - Cruscotto per DPO

@RIPRODUZIONE RISERVATA

Articolo 1 di 5