L’applicazione di un corretto metodo di redazione delle procedure e delle istruzioni operative è uno dei modi per garantire ed essere in grado di dimostrare la conformità dell’organizzazione al GDPR e alla normativa in materia di protezione dei dati personali.
Indice degli argomenti
L’importanza di dimostrare la compliance GDPR dell’organizzazione
Nella strategia di compliance, infatti, è particolarmente importante il momento di “messa in opera” del sistema, mediante la predisposizione e la successiva diffusione delle procedure ed istruzioni presso gli operatori al fine di ottenere il coinvolgimento effettivo nella gestione del sistema.
Mentre alcune procedure sono già individuate dal GDPR, altre possono (e in alcuni casi: devono) essere create dall’organizzazione in quanto costituiscono quelle misure organizzative prescritte tanto in materia di garanzia degli adempimenti (art. 24 GDPR) che di sicurezza (art. 32 GDPR).
L’esigenza di definire una procedura per la gestione delle violazioni di sicurezza, ad esempio, si ritrova negli artt. 33 e 34 GDPR i quali indicano già alcune prescrizioni quali la tenuta del registro delle violazioni, la modalità di notifica di data breach all’autorità di controllo e di comunicazione agli interessati.
Allo stesso modo, la procedura di riscontro alle richieste degli interessati circa l’esercizio dei diritti trova la definizione di tutti i suoi contenuti essenziali già all’interno dell’art. 12 e ss. GDPR. In questi casi l’intervento di implementazione operativa da parte dell’organizzazione gode di un minore margine di autonomia in quanto deve sostanzialmente consistere in una ricezione e adattamento di tutte quelle prescrizioni già puntualmente indicate dalla norma (quali, ad esempio, il termine di 72 ore per la notifica di data breach o la gratuità dell’esercizio dei diritti degli interessati).
Il riesame delle misure di conformità di cui all’art. 24.1 GDPR e delle misure di sicurezza di cui all’art. 32.1 lett. d) GDPR, invece, comporta l’esigenza di creare delle procedure per cui la norma prescrive soltanto un contenuto ampio e generico e prevede, rispettivamente che “Dette misure sono riesaminate e aggiornate qualora necessario.” e “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
In questa ipotesi e altre similari è evidente come il margine di definizione dei contenuti da parte dell’organizzazione sia maggiore, e dunque vada approfondita una fase preliminare di studio e di legal design per l’individuazione delle attività fondamentali che devono essere formalizzate nella procedura.
Il principale obbligo riguardante l’inserimento delle istruzioni operative, invece, si può individuare agevolmente all’interno dell’art. 29 GDPR in forza del quale tutti gli operatori autorizzati all’accesso ai dati personali devono essere istruiti dal titolare del trattamento. La portata delle istruzioni viene così totalmente rimessa alla definizione del titolare, proprio in forza del principio di responsabilizzazione e a garanzia dell’effettività degli adempimenti.
In ogni caso, è essenziale che tanto le procedure quanto le istruzioni operative siano riferite al contesto organizzativo e, per l’effetto, vengano rivolte efficacemente ai propri destinatari, richiedendo alcuni accorgimenti riguardanti tanto la struttura quanto la forma.
Compliance GDPR: la redazione delle procedure
Durante la fase di progettazione delle procedure si deve prima di tutto tenere conto del sistema da gestire e, dunque, prima fare riferimento ai processi individuati.
Inoltre, devono essere analizzati anche gli asset tecnologici ed umani che si intendono coinvolgere, siano essi interni ed esterni.
Lo scopo di questa attività preliminare è una valutazione di sostenibilità della procedura per l’organizzazione, affinché possa essere effettiva e non rimanere soltanto su carta.
Il coinvolgimento dei referenti di funzione in questa fase di studio è pertanto fondamentale al fine di rilevare tutte le criticità che impedirebbero un’efficace messa in opera della procedura.
È bene ricordare che un ruolo indubbiamente rilevante è svolto dal DPO il quale è (anzi: deve essere) chiamato a prestare la propria attività di consulenza (entro i limiti definiti dall’art. 39 par. 1 lett. a) GDPR) e a svolgere il proprio ruolo di sorveglianza rispetto all’attribuzione delle responsabilità del personale (ai sensi dell’art. 30 par. 1 lett. b) GDPR).
Una procedura non deve avere un formato predefinito e può essere composta da testi, tabelle e/o infografiche. È possibile trarre ispirazione, per gli elementi da inserire all’interno, da procedure già adottate dall’organizzazione (ad esempio: procedure qualità, procedure per la gestione della sicurezza dei luoghi di lavoro, procedure antiriciclaggio ecc.) in modo tale da facilitarne la comprensione per gli operatori e agevolare l’attività di audit.
Sempre all’interno della fase di progettazione della procedura, è opportuno che trovino una puntuale e chiara individuazione tutti quei soggetti che a qualsiasi titolo saranno chiamati ad intervenire al suo interno, andando così ad attribuire i ruoli e assegnare le conseguenti responsabilità a persone e funzioni.
L’impiego di una matrice RACI si rivela uno strumento particolarmente utile, e anzi è stata anche fra i documenti citati all’interno di una complessa attività istruttoria condotta da parte dell’autorità di controllo belga per la valutazione del coinvolgimento del DPO che ha portato alla decisione del 28 aprile 2020.
La sezione principale della procedura consiste in una descrizione delle attività e deve sostanzialmente riportare con un linguaggio semplice e univoco chi deve fare cosa e come, quando e dove l’attività deve essere svolta.
Adottare un approccio quanto più schematico possibile nella parte descrittiva porta al conseguimento di due principali vantaggi: una maggiore intellegibilità della procedura per i destinatari e un migliore svolgimento degli interventi di controllo e di miglioramento.
Quando necessario, è bene inserire dei modelli e delle istruzioni operative fra gli allegati della procedura. Ad esempio, per la procedura di data breach è utile inserire almeno un modello interno di segnalazione del data breach, un modello di registro delle violazioni, un modello per richiedere le informazioni ai propri fornitori (qualora siano parte coinvolta dalla violazione) e un modello per comporre la notifica all’autorità di controllo.
Compliance GDPR: la redazione delle istruzioni operative
Le istruzioni operative possono essere già contemplate all’interno delle procedure adottate dall’organizzazione o altrimenti costituire alcuni di quei presidi organizzativi adottati e posti a garanzia della conformità normativa delle attività di trattamento dei dati personali, ivi inclusa la componente della sicurezza delle informazioni.
È bene ricordare che l’organizzazione, ai sensi del combinato degli artt. 24 e 29 GDPR, è tenuta all’adozione di misure adeguate che possono garantire l’istruzione del personale. Occorre dunque favorire l’effettività delle istruzioni al mero formalismo.
Coerentemente con quanto detto, le istruzioni operative devono pertanto avere contenuti facilmente comprensibili da parte dei destinatari, siano essi soggetti interni o esterni dell’organizzazione e dunque la loro corretta progettazione è una componente essenziale per la compliance.
L’adozione di elenchi a punti con azioni semplici da svolgere, secondo una logica che distingua chiaramente ciò che deve essere fatto e ciò che è vietato fare (secondo uno schema semplificato del tipo: DO/DON’T), agevola l’apprendimento da parte di tutti gli operatori.
Il linguaggio impiegato all’interno delle istruzioni operative deve inoltre essere semplice, chiaro, puntuale e conciso, e l’utilizzo di infografiche può essere utile per agevolare la comunicazione delle istruzioni fornendo un carattere di immediatezza e andando ad evidenziare i passaggi fondamentali da seguire.
Sempre nel senso di agevolare una migliore comunicazione, costituisce buona prassi preferire la stesura di più istruzioni operative semplici piuttosto che comporre un’unica istruzione operativa complesse.
La diffusione delle procedure e delle istruzioni operative
Gli strumenti che è possibile impiegare per la diffusione di procedure e istruzioni operative sono vari e possono ad esempio contemplare circolari, regolamenti interni, bacheca aziendale (fisica e/o telematica).
Dal momento che la selezione delle modalità più adeguate è rimessa all’autonoma valutazione dell’organizzazione, la valutazione di opportunità e di costo degli interventi da svolgere è un passaggio fondamentale per la “messa in opera” delle procedure e delle istruzioni operative.
È necessario contemplare, fra gli interventi, anche le attività di formazione, addestramento e sensibilizzazione (come puntualmente indicato dall’art. 39.1 lett. b) GDPR) riguardanti il sistema di gestione predisposto per garantire la conformità al GDPR in un’ottica di garanzia di un’efficace e capillare diffusione del sistema.
Uno dei criteri generali che è bene seguire per intraprendere azioni efficaci è quello di rendere la procedura o l’istruzione operativa facilmente consultabile nei luoghi presso cui le attività ivi contenute devono essere eseguite.
In tal senso, ad esempio, costituiscono buone prassi:
- affiggere le istruzioni di sicurezza informatica in tutti gli ambienti in cui sono utilizzati i dispositivi;
- collocare le istruzioni di scarto documentale presso la sala archivi;
- inviare la procedura per la gestione dei candidati alla funzione aziendale preposta a raccogliere i CV e organizzare i colloqui;
- implementare una funzione nel pannello degli operatori con cui possono accedere alle procedure e istruzioni;
- raccogliere procedure ed istruzioni all’interno di una cartella di rete condivisa.
Conclusioni
L’adozione di un metodo e delle corrette tecniche per la redazione di procedure ed istruzioni operative è una componente fondamentale nell’ambito della compliance al GDPR, dal momento che la gestione degli adempimenti è rimessa all’autonoma definizione da parte dell’organizzazione.
Di conseguenza, tutte le procedure e le istruzioni presenti e in vigore altro non sono che una declinazione operativa del principio di responsabilizzazione e costituiscono così le evidenze di quelle misure organizzative predisposte per garantire ed essere in grado di dimostrare la conformità agli obblighi del Regolamento.
È bene infine ricordare che l’efficace attuazione di procedure ed istruzioni operative può essere garantita soltanto da un’attività continua di controllo e predisposizione di interventi correttivi, nella prospettiva di efficientamento e di integrazione in un sistema dinamico.
