LA GUIDA PRATICA

Dalla gap analysis alla compliance GDPR: adempimenti per mettere in sicurezza i processi aziendali

I “consulenti” privacy (DPO o Manager Privacy), quando assumono l’incarico, hanno la necessità di eseguire innanzitutto una gap analysis per valutare lo stato attuale della compliance e individuare le aree organizzative e le linee di business che necessitano di attenzione immediata. Ecco come fare

21 Mar 2022
A
Giuseppe Alverone

DPO dell'Arma dei Carabinieri. Certificato UNI 11697:2017

M
Massimo Mennitti

Manager Privacy dell’Arma dei Carabinieri

I “consulenti” privacy – il DPO o il Manager Privacy[1] – nel momento in cui assumono un incarico all’interno dell’impresa/P.A. che li ha designati, hanno la necessità di eseguire innanzitutto una gap analysis: devono, cioè, sviluppare un processo per valutare lo stato attuale della compliance e individuare le aree organizzative e le linee di business che necessitano di attenzione immediata perché non sono allineate ai principi fondamentali della protezione dei dati.

Una buona gap analysis parte quindi dalla definizione di un quadro chiaro e completo di dove si trova l’organizzazione (la c.d. Due Diligence) per poi definire una road map, una tabella di marcia per realizzare miglioramenti evidenti e soprattutto misurabili, attraverso l’individuazione e la correzione delle lacune organizzative e la gestione dei rischi per i diritti e le libertà fondamentali delle persone fisiche.

GDPR, una protezione tra rischi e pericoli per le persone fisiche e per l’economia

Il contesto di riferimento

Ogni impresa/P.A. riveste il ruolo privacy di “titolare” quando determina finalità e mezzi dei trattamenti di dati personali. Quale “titolare”, l’impresa o la Pubblica Amministrazione, secondo quanto stabilito dal Considerando 74 del GDPR, ha la responsabilità generale per qualsiasi trattamento di dati personali che effettui direttamente o che altri (i.e. i fornitori) effettuino per suo conto.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Cybersecurity

Per “responsabilità generale” si intende:

  1. la responsabilità operativa (c.d. responsibility);
  2. la responsabilità giuridica (c.d. liability);
  3. la responsabilità intesa come “chiamata a rendere conto delle proprie azioni” (c.d accountability).

Questa gamma di responsabilità non può essere trasferita e rimane sempre in capo al titolare che deve quindi gestirla con la massima attenzione, seguendo il c.d. “Ciclo di Deming”, i.e. un processo iterativo di miglioramento continuo a cui si informa il framework normativo delineato dal GDPR e che si sviluppa nelle 4 fasi di:

  1. pianificazione (PLAN);
  2. attuazione (DO);
  3. verifica e riesame (CHECK);
  4. aggiornamento (ACT).

La figura seguente descrive icasticamente come dette fasi sono scandite dalle norme del GDPR:

Quindi l’archetipo di un sistema privacy “compliant” prevede che il titolare:

  1. pianifichi l’adozione di misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati fissati dall’art. 5 GDPR;
  2. metta in atto le misure pianificate per garantire, ed essere in grado di dimostrare, che i processi aziendali in cui girano dati personali sono effettivamente allineati ai citati principi fondamentali;
  3. verifichi e riesamini le misure adottate;
  4. porti a maturazione il ciclo, aggiornando le misure adottate e definendo ed implementando politiche e procedure.

L’insediamento di un consulente privacy

È verosimile che nel momento in cui un DPO o un Manager Privacy si insedia all’interno dell’impresa o della Pubblica Amministrazione che lo ha designato, si troverà all’interno di un ciclo già avviato e non potrà, quindi, contribuire a disegnare e modellare un sistema privacy “ex novo”.

Potrà seguire il ciclo di Deming dall’inizio, solo per avviare nuovi specifici progetti.

Pertanto, quando entra nell’organizzazione il consulente privacy si troverà, molto probabilmente, a gestire la fase di “CHECK”, a ciclo ormai avviato. Per questo motivo, sarà bene che nei primi giorni di lavoro si dedichi esclusivamente a redigere un verbale di insediamento nel quale descriva, seppure in generale le politiche, le procedure ed i processi correnti.

Successivamente è consigliabile che in ordine di priorità dedichi tutte le sue attenzioni e competenze a rilevare e misurare lo stato:

  1. dei meccanismi di tenuta dell’operatività;
  2. della consapevolezza e del livello di formazione del personale dell’impresa/P.A.;
  3. del livello di compliance dei trattamenti di dati personali in atto;
  4. delle politiche e procedure vigenti e di come sono stati attribuiti i ruoli “privacy” e le relative e responsabilità;
  5. dei processi di gestione dell’esercizio dei diritti e dei data breach;
  6. della sicurezza dei trattamenti e del processo di gestione dei rischi per i diritti e le libertà fondamentali.

Analizziamo di seguito ciascuno di questi steps necessari a realizzare una efficace “gap-analysis”.

Meccanismo di tenuta dell’operatività

Nel gestire la responsabilità generale dei trattamenti, il titolare deve individuare i “punti critici” dei processi aziendali ove i dati personali potrebbero non essere adeguatamente presidiati.

I due punti molto critici, su cui il DPO o il Manager Privacy deve soffermarsi prima possibile, sono certamente:

  • la catena dei fornitori (la c.d. supply chain);
  • le autorizzazioni ai trattamenti del personale dipendente.

Quando un’impresa deve affidare delle attività di trattamento a un fornitore, questi, dovendo trattare i dati per conto della stessa impresa, deve necessariamente assumere il ruolo privacy di “responsabile del trattamento” e deve, pertanto, presentare garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del GDPR.

Nell’esecuzione della “gap-analysis”, sarà quindi necessario verificare se ogni fornitore sia stato già vincolato con un contratto o altro atto giuridico che abbia come contenuto minimo le condizioni fissate dall’art. 28, paragrafo 3 del GDPR.

Questa norma è uno straordinario meccanismo di tenuta dell’operatività non solo per la messa in sicurezza della “supply chain” ma per l’intero settore della protezione dei dati.

Infatti, il paragrafo 12.1 della Prassi di Riferimento UNI PdR 43.1.2018 raccomanda ai titolari di far ricorso a detta norma per autorizzare dipendenti “tecnici informatici a trattare dati personali, laddove testualmente stabilisce che “le designazioni in ambito di trattamento dei dati mediante strumenti elettronici dovrebbero essere realizzate in forma scritta e sinteticamente riprendere i contenuti principali delle singole funzioni attribuite al lavoratore. Esse dovrebbero disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 del Regolamento”.

Ad ulteriore conferma della garanzia di efficacia del citato “meccanismo di tenuta”, valga la considerazione che sul paragrafo 3 dell’art.28 GDPR, si fondano anche i nuovi modelli di “Clausole Contrattuali Tipo” che la Commissione UE ha recentemente adottato con la Decisione di Esecuzione 2021/915 del 4 giugno 2021.

L’art. 28, paragrafo 3 del GDPR fungerà quindi da “bacchetta del rabdomante” per il consulente privacy che dovrà necessariamente individuare eventuali non conformità a detta norma, raccomandando e stimolando l’immediata attuazione di tutte le misure correttive possibili.

Consapevolezza e formazione

Secondo importante parametro da rilevare e misurare è la consapevolezza ed il livello di istruzione dei dipendenti dell’impresa circa l’importanza della compliance alla normativa privacy.

La sensibilizzazione e la formazione delle persone che sono chiamate ad eseguire materialmente i trattamenti di dati personali assumono una importanza davvero strategica.

Infatti, un modello organizzativo privacy, anche se pienamente in linea con le Best Practices, non potrà mai garantire un’effettiva compliance al GDPR, se non è supportato da una appropriata consapevolezza e da una solida formazione del personale che deve farlo funzionare.

Nell’ambito delle pubbliche amministrazioni è agevole ottenere in tempi brevi un elevato livello di consapevolezza e di sensibilizzazione del personale, anche solo rendendo evidente che l’esecuzione di trattamenti di dati personali non conformi ai principi e alle regole fissate dal GDPR da parte di funzionari o impiegati, può esporre questi ultimi al rischio concreto di essere sottoposti a giudizio di responsabilità amministrativa innanzi alla Corte dei Conti, atteso che un’eventuale sanzione pecuniaria irrogata dal Garante costituisce un danno erariale[2].

Riesame e aggiornamento dei trattamenti

Un altro set di adempimenti necessario a realizzare una buona “gap-analysis” consiste nel:

  1. mappare tutti i trattamenti di dati eseguiti nell’ambito dell’impresa/P.A., esaminando tutta la documentazione disponibile ed eseguendo interviste diffuse tra gli “autorizzati ai trattamenti”;
  2. verificare se tutti i trattamenti mappati, siano annotati sul registro dei trattamenti ex art. 30 GDPR e se sia stata ritualmente fornita la correlativa informativa ex artt. 13 e 14 GDPR. E’ evidente che debbano essere adottate immediate misure correttive, se qualche trattamento mappato non risulti annotato sul registro;
  3. dare incarico a tutte le unità organizzative dell’impresa/P.A. di eseguire un “privacy check-up” di ogni trattamento mappato; i.e. dovrà essere eseguita una attenta verifica della avvenuta corretta applicazione del principio di privacy by design. Dovranno quindi essere individuate le misure tecniche e organizzative adeguate che sono state poste per attuare in modo efficace i principi posti dall’art. 5 GDPR. A tal fine si suggerisce di seguire la seguente check list:

1

I dati personali sono stati raccolti per finalità determinate?

2

I dati personali sono stati raccolti per finalità esplicite?

3

I dati personali sono stati raccolti per finalità legittime? La base giuridica è determinata?

4

È stata data agli interessati un’adeguata informativa?

5

Il trattamento effettuato era in linea con le aspettative degli interessati?

6

I dati personali sono stati trattati in modo non incompatibile con le finalità per le quali erano stati raccolti?

7

I dati personali risultano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono stati trattati?

8

I dati personali risultano esatti e aggiornati? Sono state adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali erano stati trattati?

9

I dati personali sono/sono stati conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono stati trattati?

10

Sono state adottate misure di sicurezza per proteggere la riservatezza, l’integrità e la disponibilità dei dati?

11

Sono state adottate misure di sicurezza contro il trattamento non autorizzato o illecito dei dati?

12

Sono state adottate misure di sicurezza per evitare la distruzione o la perdita dei dati o il danno accidentale?

Anche in questa fase vanno apportati correttivi immediati nel caso in cui si rilevino delle non conformità.

Politiche e procedure: attribuzione di ruoli e responsabilità

Ancora, il DPO o il Manager Privacy, nell’eseguire la “gap-analysis”, deve anche verificare e valutare se le politiche, le procedure e i processi siano allineati agli obiettivi di business nonché ai principi fissati dal framework normativo contenuto nel GDPR.

In particolare è necessario:

  1. verificare le politiche e le procedure in atto;
  2. delineare il quadro giuridico e contestualmente determinare i requisiti legali a cui l’impresa/P.A. deve conformarsi;
  3. identificare e analizzare le eventuali lacune;
  4. predisporre un piano d’azione composto da azioni concrete che prevedano l’adeguamento di politiche e procedure agli obiettivi di business ed ai requisiti normativi.

Le nuove politiche adottate su indicazione del “consulente” privacy dovranno:

  • fissare i principi fondamentali e le linee di azione generali che guidano le attività di trattamento dei dati personali dell’impresa o P.A;
  • riguardare:
    1. ruoli e responsabilità;
    2. formazione;
    3. consapevolezza;
    4. sicurezza.

Esercizio dei diritti e gestione dei data breach

Se all’interno dell’organizzazione sono già state predisposte specifiche procedure per l’esercizio dei diritti e per la gestione dei data breach, è necessario verificarne la fattibilità, la sostenibilità e l’efficienza.

Qualora invece tali procedure non siano state ancora definite, occorrerà predisporle, attribuendo specifici ruoli e responsabilità nell’ambito del contesto interno.

Sicurezza dei trattamenti e gestione del rischio

Altra importante verifica necessaria per completare la “gap-analysis” consiste nel verificare e valutare le misure di sicurezza in atto volte a presidiare i dati che girano nei processi aziendali.

Se non è stato attivato, occorrerà verificare se sia possibile implementare un ISMS (i.e. un sistema di gestione della sicurezza delle informazioni) per soddisfare i requisiti del GDPR per la protezione dei dati personali con “misure tecniche e organizzative appropriate” Tra queste misure non potranno mancare[3]:

  1. misure di pseudonimizzazione e cifratura dei dati personali;
  2. misure per assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  3. misure per assicurare la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  4. procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;
  5. misure di identificazione e autorizzazione dell’utente;
  6. misure di protezione dei dati durante la trasmissione misure di protezione dei dati durante la conservazione;
  7. misure per garantire la sicurezza fisica dei luoghi in cui i dati personali sono trattati;
  8. misure per garantire la registrazione degli eventi;
  9. misure per garantire la configurazione del sistema, compresa la configurazione per impostazione predefinita;

La costruzione di una politica di sicurezza dovrà essere accompagnata da una sistematica gestione dei rischi per i diritti e le libertà fondamentali che includa il ricorso a sistemi, tecniche o processi (controlli) progettati per ridurre i rischi per la privacy (e.g. DPIA, applicazione del principio di privacy by design e by default).

Definizione di una road map

Al termine dell’esecuzione della gap analysis si dovranno porre in essere le misure correttive immediate per ottenere subito un livello di compliance accettabile.

Successivamente va disegnata una road map che assicuri l’adozione di misure tecniche e organizzative a medio termine per ottenere una compliance al GDPR che sia “strutturale”.

Il sistema privacy così predisposto dovrà anche prevedere una revisione periodica delle misure adottate e della politica disegnata.

La revisione periodica della politica è integrata nella cultura dell’organizzazione per garantire che sia la politica, sia i processi aziendali, continuino ad essere permanentemente allineati alla visione, alla missione, agli obiettivi di business e al framework normativo.

 

NOTE

  1. Si fa riferimento al profilo professionale previsto dallo standard UNI 11697/2017, richiamato nell’ALLEGATO 1 – APPENDICE B del provvedimento GPDP n.148 del 29 luglio 2020.

  2. Vds, Sentenza n. 429/2019 della Corte dei Conti – Sez. Giur. della Calabria.

  3. Segue l’elenco di misure inserite nell’Allegato III della DECISIONE DI ESECUZIONE (UE) 2021/915 della COMMISSIONE del 4 giugno 2021.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4