Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GUIDA ALLA NORMATIVA

Documentare la conformità al GDPR: un nuovo approccio

Il principio di accountability inteso come responsabilizzazione e obbligo di rendicontazione impone al titolare del trattamento dati il rispetto delle prescrizioni normative ed esplicita la richiesta di documentare la conformità al GDPR. Ecco un possibile approccio

03 Lug 2019
D

Laura Di Liddo

Consulente e formatore privacy, DPO, GRCteam Senior Consultant


Il Regolamento (UE) 2016/679 stabilisce la responsabilità generale del titolare, denominata “accountability” (Art.5; Art.24; Cons. 74 e 78 del GDPR): viene sancito l’obbligo del titolare di rispettare il Regolamento e di dimostrare la propria conformità, anche mediante l’adozione di politiche interne e meccanismi per garantire tale rispetto, rendendo esplicita la richiesta di documentare le proprie scelte in merito al raggiungimento dell’obiettivo prefissato di protezione dati.

Nel corso dell’articolo ci si sofferma in particolare sulla seconda componente dell’accountability, rileggendo i principali adempimenti previsti dalla normativa alla luce dell’obbligo di “dimostrare la conformità”.

Documentare la conformità al GDPR: profili innovativi

Inteso come “responsabilizzazione e obbligo di rendicontazione”, il principio di accountability costituisce indubbiamente il pilastro sul quale è costruito l’intero Regolamento, chiamando il titolare non solo a rispettare le prescrizioni normative, ma a “dimostrare la sua conformità”: questo comporta importanti implicazioni per la gestione della compliance alle prescrizioni sui dati personali, tali da richiedere una revisione dell’intero sistema aziendale di governo dei dati e nuove modalità di predisposizione dell’apparato documentale e procedurale di supporto.

Deve infatti essere posta attenzione sia alla compliance alle disposizioni di legge, sia alle policy, alle procedure, alle evidenze documentali che si è in grado di produrre per documentare il proprio sistema di governo dei dati personali.

Si tratta di una richiesta rispetto alla quale il livello di effettiva comprensione e di maturità da parte degli operatori è ancora parziale, senz’altro in parte dovuto al nuovo e differente approccio alla data protection introdotto dal Regolamento europeo.

Sotto questo aspetto l’impianto normativo precedente costruito sul D.lgs. 196/2003 era infatti radicalmente diverso[1]: ciò che veniva richiesto, in sostanza, era la formalizzazione esplicita solo di un limitato insieme di documenti e di misure tecniche ed organizzative.

Dovevano essere prodotte le informative per i soggetti interessati al trattamento, le lettere di incarico dei soggetti designati con le relative istruzioni, e dovevano essere implementate le misure minime di sicurezza, senza però richiedere la formalizzazione esplicita di policy e procedure che ne descrivessero la modalità di formalizzazione e di utilizzo, in quanto ci si limitava a valutare l’adozione di quanto formalmente richiesto.

L’approccio del Regolamento ed il conseguente sistema di gestione dei dati personali ora introdotto, invece, non si limita a valutare i risultati formali, che spesso non sono nemmeno definiti (ad esempio, non esiste più l’elenco delle misure minime), ma si concentra sul processo progettato e messo in atto per presidiare la protezione dei dati nell’organizzazione.[2]

Ne consegue che ciò che va dimostrato in molti casi non è solo un risultato, ma una policy o comunque il processo che ha condotto al risultato.

La maggiore discrezionalità riconosciuta al titolare di individuare e definire le modalità attraverso le quali conformarsi alle disposizioni normative è inoltre gravata dall’onere di essere in grado di provare che il modello di gestione dei dati personali adottato sia effettivamente in grado di assicurare il rispetto del diritto alla protezione delle persone fisiche i cui dati vengono trattati, dimostrando le ragioni che hanno portato alle decisioni adottate e le motivazioni alla base delle scelte.

Il livello di consapevolezza, di formalizzazione e di documentazione richiesto è quindi molto più elevato e si declina con diverso contenuto nei diversi ambiti che il titolare del trattamento è chiamato a presidiare in funzione della complessità che lo caratterizza.

Ambiti di intervento: la mappatura delle attività di trattamento

Individuate le funzioni deputate a guidare e gestire il processo di data protection, il primo degli ambiti rispetto al quale il titolare del trattamento è chiamato ad intervenire riguarda l’impostazione e l’effettuazione della mappatura delle attività di trattamento: non un semplice elenco di attività, ma fotografia analitica e fedele del proprio contesto, quale precondizione essenziale alla produzione del registro e a qualunque valutazione successiva relativa all’analisi del rischio e all’eventuale necessità di valutazione d’impatto.

L’output documentale di questa fase può essere costituito da un report delle attività di trattamento svolte nell’ambito dei vari processi dell’organizzazione, arricchito con la ricognizione delle caratteristiche dei trattamenti (tipi di dati, categorie di interessati, archivi e risorse utilizzate, rispetto dei principi fondamentali, individuazione delle basi giuridiche) che, completato con tutte le informazioni dettagliate nell’art. 30, porterà alla definizione del registro dei trattamenti[3].

Principio di trasparenza e gestione delle relazioni con gli interessati

Il principio di trasparenza verso gli interessati è uno dei principi fondamentali del Regolamento, in quanto contribuisce a rafforzare il controllo degli interessati sui propri dati personali[4].

In base a questo principio, il titolare ha anzitutto l’obbligo di fornire all’interessato le informazioni in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro; e di fornire obbligatoriamente all’interessato più informazioni – tempi/criteri di conservazione dei dati, trasferimenti internazionali e meccanismi legittimanti – aggiuntive rispetto a quanto previsto dal precedente impianto normativo.

Non solo. In base al principio di trasparenza occorre che le informazioni rese siano adeguate e che riflettano le varie fasi dei flussi informativi, sia all’interno che all’esterno dell’azienda, individuando le fonti delle informazioni ed i destinatari dei dati.

Occorre inoltre assicurare all’interessato l’esercizio dei diritti riconosciuti dal Regolamento (artt. 15-22)[5].

Lette alla luce del principio di accountability, per soddisfare queste richieste non è sufficiente predisporre i testi, ma dimostrare di avere strutturato una procedura interna che governi il processo: occorre individuare le funzioni aziendali che se ne occupano e la fasi in cui si articola il processo, in modo da provare che vengano effettivamente rese le informazioni adeguate agli interessati e che l’azienda sia in grado di rispondere in modo appropriato (per tempistica e contenuto) alle richieste degli interessati.

Utile a questo proposito disporre di un registro ove annotare le richieste, che oltre a standardizzare la procedura ne documenta la gestione.

Adozione delle misure tecniche e organizzative adeguate

In coerenza con l’approccio risk based che lo caratterizza, Il Regolamento non richiede l’adozione di specifiche misure di sicurezza, ma impone ai titolari e responsabili l’obbligo generale dell’adozione di misure tecniche e organizzative adeguate al rischio associato al trattamento[6].

Il titolare ha quindi il dovere legale di compiere una valutazione preliminare per assicurare l’adeguatezza delle misure di sicurezza e della struttura dei ruoli, effettuando un’analisi del rischio che consideri sia le misure di sicurezza che le misure organizzative e documentando in ogni caso la metodologia applicata.

Inoltre, è richiesto che venga messa in atto “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” (art.32).

Il titolare ha quindi il dovere legale di assicurare nel continuo l’effettivo funzionamento dell’impianto di data protection definito, attraverso l’implementazione di meccanismi di controllo e monitoraggio efficaci e documentati: diventa allora critico definire la periodicità, gli ambiti, gli output dei controlli e gli eventuali progetti di adeguamento conseguenti.

Con riguardo alle misure tecniche, i passaggi da effettuare e documentare riguardano:

  • la corretta mappatura dell’infrastruttura IT e degli asset fisici che ospitano i dati personali;
  • la verifica di adeguatezza delle contromisure tecnologiche già adottate;
  • la verifica della necessità di implementazione di ulteriori contromisure e della loro efficacia nell’abbattimento di probabilità/impatti sui dati personali;
  • la pianificazione dei necessari follow-up risolutivi degli eventuali gap rilevati.

Con riguardo alla richiesta di adozione delle misure organizzative adeguate, il titolare deve definire, attuare e dimostrare di aver adottato un modello organizzativo che individui i ruoli e le responsabilità degli attori coinvolti e le relative istruzioni: le misure organizzative concorrono con quelle tecniche a garantire la effettiva protezione dei dati personali trattati, a dimostrazione dell’accountability del titolare e sono documentate dall’apparato di autorizzazioni, nomine o contratti nei confronti di eventuali contitolari, autorizzati al trattamento, responsabili e DPO.

Oltre ai ruoli tipizzati, previsti esplicitamente dal Regolamento[7], l’art. 2-quaterdecies del Codice novellato consente ulteriori margini di autonomia organizzativa e di espressione di accountability nel disegnare il proprio assetto organizzativo.

Qui al primo comma è prevista la possibilità che “specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche espressamente designate” che operano all’interno dell’assetto del titolare o del responsabile, rimettendo poi alla libera scelta del titolare o del responsabile l’individuazione delle “modalità più opportune per autorizzare al trattamento” tali persone (2° comma).

Si tratta della previsione che fonda l’autonomia dell’imprenditore titolare o responsabile di orientarsi in merito alla definizione del proprio assetto organizzativo in ambito data protection, e che ha portato nella prassi alla definizione di figure quali il “referente privacy”, il “privacy manager”, il “coordinatore privacy”.

Si tratta di figure di vario profilo accomunate dall’essere autorizzate ad accedere ai dati personali in conformità all’art. 2-quaterdecies 2°comma del Codice novellato, operando in base alle istruzioni specifiche ricevute, previste agli artt. 29 e 32 par.4 del Regolamento.

In ogni caso, in ottica di accountability, il modello organizzativo nel complesso deve riflettere l’effettiva distribuzione dei ruoli e delle responsabilità dei soggetti attivi del trattamento, quindi delle persone fisiche e giuridiche coinvolte nelle attività di trattamento svolte nel contesto specifico; garantire un adeguato livello di consapevolezza attraverso un’attività di formazione efficace; prevedere le istruzioni operative specifiche per le persone autorizzate al trattamento.

Infine, occorre garantire un efficace governo dei trattamenti affidati all’esterno attraverso l’analisi attenta della filiera della fornitura e dei contratti/convenzioni/incarichi in corso o in via di definizione, con la conseguente predisposizione e formalizzazione di accordi strutturati di trattamento dei dati, mirati a minimizzare gli impatti ed i rischi sui dati personali in oggetto.

Quanto alla formazione ed alle istruzioni, queste rivestono un ruolo centrale e costituiscono un prerequisito per poter operare sia all’interno dell’organizzazione che all’esterno in qualità di responsabile del trattamento.

Il titolare è chiamato a documentare la formazione erogata o pianificata e l’“istruzione documentata” fornita al responsabile[8]: disporre, da un lato, dei piani di formazione, dei materiali e delle dispense messi a disposizione, dei test somministrati; dall’altro, delle istruzioni fornite al responsabile, coerenti con la tipologia di trattamento esternalizzato, costituisce un tassello rilevante del sistema data protection, concretizzando anche sotto questo profilo il principio di accountability.

Il presidio interno: il DPO e il referente privacy

In considerazione della complessità e numerosità degli adempimenti previsti e per la loro pervasività in tutta la struttura dell’organizzazione, si comprende la necessità della presenza di un “regista”, di una figura di presidio (singola funzione o ufficio di riferimento) che abbia costantemente il polso della situazione, ne sia il punto di riferimento, governi le relazioni interne e agisca quale intermediario fra i vari stakeholder (autorità di controllo, interessati e diverse business unit aziendali).

Questa figura costituisce il fulcro del nuovo sistema di governance in tema di protezione dati personali, sia che si tratti del DPO – nominato per obbligo normativo o su base volontaria – oppure di una diversa figura frutto dell’autonomia organizzativa riconosciuta al titolare: chiamata a facilitare l’osservanza delle disposizioni del GDPR, minimizzare il rischio di violazioni e agire di conseguenza, questa figura diventa per definizione il principale strumento di accountability del titolare, la cui stessa attività deve essere documentata in modo più o meno formale (verbali di riunione, indicazioni, pareri, corrispondenza varia, attività di revisione effettuata ecc.).

Conclusioni

Comprendere la portata del principio di accountability è condizione essenziale per l’implementazione di un sistema di governo dei dati personali che sia in grado di garantirne l’effettiva protezione, punto dal quale partire e al contempo traguardo da raggiungere[9].

Comprenderne la portata in fase progettuale implica la capacità di ripensare l’approccio al proprio sistema di data protection, cogliendone la complessità, la pervasività e la necessità di contestualizzazione all’interno dell’intera struttura aziendale.

In fase di mantenimento del sistema, implica la capacità di far emergere quanto consapevolmente implementato, in modo da saper documentare “nel continuo” la conformità al Regolamento delle attività di trattamento svolte.

NOTE

  1. Come già molto efficacemente sottolineato in uno dei primi approfondimenti nazionali “GDPR: nuova privacy. La conformità su misura” di G.Butti – A.Piamonte, ITER ed. gennaio 2017
  2. Cfr. Cons. 74 Reg. (UE) 2016/679: “è opportuno stabilire la responsabilità generale del titolare del trattamento del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”.
  3. Non ci si sofferma – volutamente – sulla portata dell’obbligo di predisposizione dei registri e sul contenuto, in quanto aspetti ormai sufficientemente chiari grazie agli interventi in merito da parte del Garante.
  4. Sull’applicazione del principio di trasparenza, si vedano le Linee guida sulla trasparenza ai sensi del Regolamento 2016/679 (adottate in via definitiva l’11 aprile 2018). Su contenuto e modalità con cui rendere l’informativa agli interessati, molto ben fatta la checklist dell’ICO.
  5. A questo proposito, nella sua Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali, il Garante raccomandava “È opportuno che i titolari di trattamento adottino le misure tecniche e organizzative eventualmente necessarie per favorire l´esercizio dei diritti e il riscontro alle richieste presentate dagli interessati, che – a differenza di quanto attualmente previsto – dovrà avere per impostazione predefinita forma scritta (anche elettronica)”.
  6. In tema di misure di sicurezza, il recentissimo Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali all’art. 11 – Misure organizzative e tecniche per la riservatezza e la sicurezza delle informazioni, stabilisce: “Secondo un approccio basato sul rischio, i fornitori adottano misure tecniche, informatiche, procedurali, fisiche ed organizzative idonee ad assicurare ed essere in grado di dimostrare la conformità al Regolamento delle attività di trattamento svolte…”.
  7. Peraltro, il Garante nella Guida all’applicazione del Regolamento europeo aveva già confermato la compatibilità della figura degli incaricati come delineata dal precedente impianto normativo con gli artt. 29 e 32 par.4 del GDPR.
  8. Cfr. art. 28(1) lett.a del Regolamento europeo.
  9. In proposito è molto interessante la sezione dedicata all’accountability sul sito dell’ICO.
@RIPRODUZIONE RISERVATA

Articolo 1 di 5