ADEMPIMENTI PRIVACY

Compliance GDPR, scrivere procedure e istruzioni operative: regole pratiche

L’efficace attuazione di un sistema di gestione degli adempimenti da GDPR transita per procedure ed istruzioni operative. Ecco alcune indicazioni utili per sviluppare un metodo di redazione

09 Ott 2020
G
Stefano Gazzella

Consulente Privacy & ICT Law, Data Protection Officer

L’applicazione di un corretto metodo di redazione delle procedure e delle istruzioni operative è uno dei modi per garantire ed essere in grado di dimostrare la conformità dell’organizzazione al GDPR e alla normativa in materia di protezione dei dati personali.

L’importanza di dimostrare la compliance GDPR dell’organizzazione

Nella strategia di compliance, infatti, è particolarmente importante il momento di “messa in opera” del sistema, mediante la predisposizione e la successiva diffusione delle procedure ed istruzioni presso gli operatori al fine di ottenere il coinvolgimento effettivo nella gestione del sistema.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Mentre alcune procedure sono già individuate dal GDPR, altre possono (e in alcuni casi: devono) essere create dall’organizzazione in quanto costituiscono quelle misure organizzative prescritte tanto in materia di garanzia degli adempimenti (art. 24 GDPR) che di sicurezza (art. 32 GDPR).

L’esigenza di definire una procedura per la gestione delle violazioni di sicurezza, ad esempio, si ritrova negli artt. 33 e 34 GDPR i quali indicano già alcune prescrizioni quali la tenuta del registro delle violazioni, la modalità di notifica di data breach all’autorità di controllo e di comunicazione agli interessati.

Allo stesso modo, la procedura di riscontro alle richieste degli interessati circa l’esercizio dei diritti trova la definizione di tutti i suoi contenuti essenziali già all’interno dell’art. 12 e ss. GDPR. In questi casi l’intervento di implementazione operativa da parte dell’organizzazione gode di un minore margine di autonomia in quanto deve sostanzialmente consistere in una ricezione e adattamento di tutte quelle prescrizioni già puntualmente indicate dalla norma (quali, ad esempio, il termine di 72 ore per la notifica di data breach o la gratuità dell’esercizio dei diritti degli interessati).

Il riesame delle misure di conformità di cui all’art. 24.1 GDPR e delle misure di sicurezza di cui all’art. 32.1 lett. d) GDPR, invece, comporta l’esigenza di creare delle procedure per cui la norma prescrive soltanto un contenuto ampio e generico e prevede, rispettivamente che “Dette misure sono riesaminate e aggiornate qualora necessario.” e “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.

In questa ipotesi e altre similari è evidente come il margine di definizione dei contenuti da parte dell’organizzazione sia maggiore, e dunque vada approfondita una fase preliminare di studio e di legal design per l’individuazione delle attività fondamentali che devono essere formalizzate nella procedura.

Il principale obbligo riguardante l’inserimento delle istruzioni operative, invece, si può individuare agevolmente all’interno dell’art. 29 GDPR in forza del quale tutti gli operatori autorizzati all’accesso ai dati personali devono essere istruiti dal titolare del trattamento. La portata delle istruzioni viene così totalmente rimessa alla definizione del titolare, proprio in forza del principio di responsabilizzazione e a garanzia dell’effettività degli adempimenti.

In ogni caso, è essenziale che tanto le procedure quanto le istruzioni operative siano riferite al contesto organizzativo e, per l’effetto, vengano rivolte efficacemente ai propri destinatari, richiedendo alcuni accorgimenti riguardanti tanto la struttura quanto la forma.

Compliance GDPR: la redazione delle procedure

Durante la fase di progettazione delle procedure si deve prima di tutto tenere conto del sistema da gestire e, dunque, prima fare riferimento ai processi individuati.

Inoltre, devono essere analizzati anche gli asset tecnologici ed umani che si intendono coinvolgere, siano essi interni ed esterni.

Lo scopo di questa attività preliminare è una valutazione di sostenibilità della procedura per l’organizzazione, affinché possa essere effettiva e non rimanere soltanto su carta.

Il coinvolgimento dei referenti di funzione in questa fase di studio è pertanto fondamentale al fine di rilevare tutte le criticità che impedirebbero un’efficace messa in opera della procedura.

È bene ricordare che un ruolo indubbiamente rilevante è svolto dal DPO il quale è (anzi: deve essere) chiamato a prestare la propria attività di consulenza (entro i limiti definiti dall’art. 39 par. 1 lett. a) GDPR) e a svolgere il proprio ruolo di sorveglianza rispetto all’attribuzione delle responsabilità del personale (ai sensi dell’art. 30 par. 1 lett. b) GDPR).

Una procedura non deve avere un formato predefinito e può essere composta da testi, tabelle e/o infografiche. È possibile trarre ispirazione, per gli elementi da inserire all’interno, da procedure già adottate dall’organizzazione (ad esempio: procedure qualità, procedure per la gestione della sicurezza dei luoghi di lavoro, procedure antiriciclaggio ecc.) in modo tale da facilitarne la comprensione per gli operatori e agevolare l’attività di audit.

Sempre all’interno della fase di progettazione della procedura, è opportuno che trovino una puntuale e chiara individuazione tutti quei soggetti che a qualsiasi titolo saranno chiamati ad intervenire al suo interno, andando così ad attribuire i ruoli e assegnare le conseguenti responsabilità a persone e funzioni.

L’impiego di una matrice RACI si rivela uno strumento particolarmente utile, e anzi è stata anche fra i documenti citati all’interno di una complessa attività istruttoria condotta da parte dell’autorità di controllo belga per la valutazione del coinvolgimento del DPO che ha portato alla decisione del 28 aprile 2020.

La sezione principale della procedura consiste in una descrizione delle attività e deve sostanzialmente riportare con un linguaggio semplice e univoco chi deve fare cosa e come, quando e dove l’attività deve essere svolta.

Adottare un approccio quanto più schematico possibile nella parte descrittiva porta al conseguimento di due principali vantaggi: una maggiore intellegibilità della procedura per i destinatari e un migliore svolgimento degli interventi di controllo e di miglioramento.

Quando necessario, è bene inserire dei modelli e delle istruzioni operative fra gli allegati della procedura. Ad esempio, per la procedura di data breach è utile inserire almeno un modello interno di segnalazione del data breach, un modello di registro delle violazioni, un modello per richiedere le informazioni ai propri fornitori (qualora siano parte coinvolta dalla violazione) e un modello per comporre la notifica all’autorità di controllo.

Compliance GDPR: la redazione delle istruzioni operative

Le istruzioni operative possono essere già contemplate all’interno delle procedure adottate dall’organizzazione o altrimenti costituire alcuni di quei presidi organizzativi adottati e posti a garanzia della conformità normativa delle attività di trattamento dei dati personali, ivi inclusa la componente della sicurezza delle informazioni.

È bene ricordare che l’organizzazione, ai sensi del combinato degli artt. 24 e 29 GDPR, è tenuta all’adozione di misure adeguate che possono garantire l’istruzione del personale. Occorre dunque favorire l’effettività delle istruzioni al mero formalismo.

Coerentemente con quanto detto, le istruzioni operative devono pertanto avere contenuti facilmente comprensibili da parte dei destinatari, siano essi soggetti interni o esterni dell’organizzazione e dunque la loro corretta progettazione è una componente essenziale per la compliance.

L’adozione di elenchi a punti con azioni semplici da svolgere, secondo una logica che distingua chiaramente ciò che deve essere fatto e ciò che è vietato fare (secondo uno schema semplificato del tipo: DO/DON’T), agevola l’apprendimento da parte di tutti gli operatori.

Il linguaggio impiegato all’interno delle istruzioni operative deve inoltre essere semplice, chiaro, puntuale e conciso, e l’utilizzo di infografiche può essere utile per agevolare la comunicazione delle istruzioni fornendo un carattere di immediatezza e andando ad evidenziare i passaggi fondamentali da seguire.

Sempre nel senso di agevolare una migliore comunicazione, costituisce buona prassi preferire la stesura di più istruzioni operative semplici piuttosto che comporre un’unica istruzione operativa complesse.

La diffusione delle procedure e delle istruzioni operative

Gli strumenti che è possibile impiegare per la diffusione di procedure e istruzioni operative sono vari e possono ad esempio contemplare circolari, regolamenti interni, bacheca aziendale (fisica e/o telematica).

Dal momento che la selezione delle modalità più adeguate è rimessa all’autonoma valutazione dell’organizzazione, la valutazione di opportunità e di costo degli interventi da svolgere è un passaggio fondamentale per la “messa in opera” delle procedure e delle istruzioni operative.

È necessario contemplare, fra gli interventi, anche le attività di formazione, addestramento e sensibilizzazione (come puntualmente indicato dall’art. 39.1 lett. b) GDPR) riguardanti il sistema di gestione predisposto per garantire la conformità al GDPR in un’ottica di garanzia di un’efficace e capillare diffusione del sistema.

Uno dei criteri generali che è bene seguire per intraprendere azioni efficaci è quello di rendere la procedura o l’istruzione operativa facilmente consultabile nei luoghi presso cui le attività ivi contenute devono essere eseguite.

In tal senso, ad esempio, costituiscono buone prassi:

  • affiggere le istruzioni di sicurezza informatica in tutti gli ambienti in cui sono utilizzati i dispositivi;
  • collocare le istruzioni di scarto documentale presso la sala archivi;
  • inviare la procedura per la gestione dei candidati alla funzione aziendale preposta a raccogliere i CV e organizzare i colloqui;
  • implementare una funzione nel pannello degli operatori con cui possono accedere alle procedure e istruzioni;
  • raccogliere procedure ed istruzioni all’interno di una cartella di rete condivisa.

Conclusioni

L’adozione di un metodo e delle corrette tecniche per la redazione di procedure ed istruzioni operative è una componente fondamentale nell’ambito della compliance al GDPR, dal momento che la gestione degli adempimenti è rimessa all’autonoma definizione da parte dell’organizzazione.

Di conseguenza, tutte le procedure e le istruzioni presenti e in vigore altro non sono che una declinazione operativa del principio di responsabilizzazione e costituiscono così le evidenze di quelle misure organizzative predisposte per garantire ed essere in grado di dimostrare la conformità agli obblighi del Regolamento.

È bene infine ricordare che l’efficace attuazione di procedure ed istruzioni operative può essere garantita soltanto da un’attività continua di controllo e predisposizione di interventi correttivi, nella prospettiva di efficientamento e di integrazione in un sistema dinamico.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr