ADEMPIMENTI PRIVACY

DPO, la presa in carico di un’azienda: le fasi di assessment

La presa in carico di un’organizzazione da parte del DPO è ancora oggi, dopo oltre due anni dall’entrata in vigore del regolamento GDPR, un tema di attualità. Indichiamo di seguito i passi da seguire per completare correttamente le fasi di assessment della compliance

25 Gen 2021
C
Paolo Calvi

Data Protection Officer, P4I - Partners4Innovation

La prima azione che un DPO deve compiere subito dopo la presa in carico di un’organizzazione consiste nel valutare l’attuale situazione della compliance e definire la base documentale su cui articolare le successive fasi di gestione.

Ciò è valido sia nel caso in cui un Data Protection Officer (DPO) prenda servizio in un’azienda che aveva ritenuto di poter fare a meno di una figura così importante e poi abbia cambiato idea, come può anche accadere che subentri a un DPO precedente. In questo secondo caso è necessaria, come prima azione, un passaggio di consegne e l’esame dei documenti prodotti dal DPO precedente.

Vediamo dunque nel dettaglio tutte le fasi di assessment della compliance.

DPO, la presa in carico: conoscere l’azienda

In ogni caso, il primo passo del DPO sarà cercare di conoscere l’azienda, prendendo visione dell’organigramma e cercando di capire se opera in una modalità prevalentemente B2C, caso in cui tratterà soprattutto i dati dei suoi clienti, o se prevale la modalità B2B e i dati esterni saranno relativi soprattutto ad altre aziende.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

In questo secondo caso, al fine del trattamento dei dati personali, sarà più rilevante la tematica dei dipendenti, significativi sia numericamente, sia dal punto di vista della gestione, soprattutto per aziende manifatturiere con molta forza lavoro.

È anche importante sapere se l’azienda opera in un settore fortemente regolamentato, indipendentemente dalla privacy, come ad esempio il farmaceutico, il bancario-assicurativo, il sanitario, dove le norme settoriali si affiancano e si sovrappongono alla regolamentazione GDPR.

Il DPO, pur non essendo uno specialista dei diversi settori, deve in ogni caso essere in grado di capirne le dinamiche, quanto meno nell’ambito della privacy.

In sostanza, il DPO si andrà a costituire la baseline, il punto di partenza di conoscenza, basato sui documenti privacy presenti in azienda in seguito all’adeguamento GDPR e sui documenti eventualmente lasciati in carico dal DPO precedente.

DPO, la presa in carico: il registro trattamenti

La successiva azione del DPO che prende in carico l’azienda sarà la verifica del registro dei trattamenti. Il suo contenuto è indispensabile per capire cosa significa gestire la privacy nell’azienda in esame visto che, per i diversi trattamenti effettuati, contiene indicazioni su quali dati, trattati da chi, con quali finalità, con quali strumenti, a chi vengono comunicati all’esterno.

Ricordiamo che il DPO dovrà trovare un registro per ogni legal entity e, nel caso di aziende che operano il trattamento di dati personali per conto terzi (sia come fornitore, sia nel ruolo di capogruppo), oltre al registro del titolare del trattamento, dovrà essere previsto anche il registro del responsabile del trattamento.

La prima verifica dovrà riguardare l’esistenza dei registri stessi e la loro accessibilità, prima che lo faccia l’Autorità Garante. Inoltre, è fondamentale che i registi risultino aggiornati (anche in maniera formale) e non siano rimasti nella situazione in cui erano a conclusione del progetto di adeguamento GDPR.

Verificare se è disponibile una copia ufficiale dei registri, aggiornata e facilmente reperibile, serve al DPO anche per capire se l’azienda è uscita dalla fase di progetto di adeguamento GDPR (che come tutti progetti deve avere una fine e produrre un esito) e se è entrata nella fase di gestione continuativa; oppure se, finito il progetto di adeguamento, nomine e registri sono restati abbandonati in un cassetto.

Nella disgraziata ipotesi che tutto sia rimasto fermo, il DPO dovrà attivare tutti i meccanismi necessari perché la gestione della privacy diventi un’attività continuativa.

Verifica dello stato di formazione e informazione

Un ulteriore passo della presa in carico consiste nel prendere visione di cosa è stato fatto per la formazione e l’informazione, anche in termini di sensibilizzazione del personale.

Prima di definire qualunque piano di formazione privacy o aggiornarne uno esistente, il DPO dovrà prevedere un assessment per definire il livello delle competenze dell’azienda all’istante zero. Il suggerimento è quello di effettuare una survey preliminare, per verificare non tanto il livello di competenza delle singole persone, quanto la conoscenza media dell’azienda sulle diverse aree di competenza (ad esempio esercizio dei diritti degli interessati, data breach…) e nelle diverse unità aziendali (HR, marketing, vendite ecc.).

Aderenza alla realtà aziendale e coerenza fra documenti

Il DPO non dovrà limitarsi a un controllo formale, ma verificare se i registri riportano e descrivono correttamente i principali trattamenti effettuati e se il modello organizzativo privacy indicato, in termini di ruoli e responsabilità, sia entrato in funzione o se sia restato sulla carta.

Se viene descritto, ad esempio, un modello fortemente decentrato in cui sono previsti referenti interni a cui è stato assegnato il ruolo di aggiornare i registri o gestire l’esercizio dei diritti degli interessati, il DPO dovrà verificare che sia stato tradotto in realtà.

Dovrà invece segnalare la discrepanza nel caso in cui il registro continui ad essere aggiornarlo dall’ufficio legale o nel caso in cui sia il privacy officer a occuparsi dell’interessato che chiede di esercitare i suoi diritti, senza che i referenti siano coinvolti.

Il DPO dovrà anche verificare la coerenza interna fra le diverse famiglie di documenti.

Le informative devono ad esempio essere coerenti con i registri dei trattamenti, in termini ad esempio di finalità, basi giuridiche, tempi di conservazione e destinatari di comunicazione dei dati. Se nel registro si indica che alcuni trattamenti sono esternalizzati coinvolgendo responsabili esterni i cui nomi siano riportati nel registro, il DPO dovrà verificare la presenza delle nomine relative degli stessi soggetti.

Attivare flussi informativi per sapere cosa accade in azienda

Il DPO, soprattutto se esterno, subito dopo la presa in carico di un’organizzazione dovrà attivare meccanismi per essere costantemente informato su cosa accade in azienda, per evitare di non accorgersi di nuove attività rilevanti che possono richiedere un aggiornamento dell’impianto privacy, rendendo necessario aggiornare ad esempio l’analisi dei rischi o lo svolgimento della DPIA.

Il suggerimento (mutuato dagli organismi di vigilanza 231, dove è obbligatorio per legge) è di definire flussi informativi, ad esempio proponendo un questionario da compilare periodicamente (3-4 mesi), da figure aziendali il più possibile vicine al business.

Potrebbero essere i referenti interni, se sono previsti, o una figura centrale o il comitato privacy. Il DPO dovrà essere informato di nuove iniziative o progetti che potrebbero impattare sulle modalità o finalità di trattamento dei dati personali, come ad esempio nel caso si apra un nuovo call center, si lanci nuova app per i pagamenti, sia adottato un nuovo sistema IT o vengano esternalizzati dei servizi. Chi comunica le innovazioni non deve preoccuparsi se c’è trattamento dei dati o se l’attività è significativa per la privacy; sarà il DPO a valutarlo.

Attivare i flussi informativi è la fase conclusiva della presa in carico. Da questo punto il DPO è pronto a esercitare il suo ruolo di consulenza e controllo.

Un audit per completare la fotografia

Visto che uno dei compiti principali del DPO è fare i controlli, nel caso di prima nomina, gli audit iniziali saranno di completamento della fase di assessment e serviranno per costituire la baseline per fotografare, negli ambiti che si scelgono, sia quelli orizzontali (documentazione, procedure ecc.) sia quelli verticali (HR, IT, Marketing e via dicendo), qual è la situazione al tempo zero, così da poter misurare negli anni successivi i miglioramenti e le azioni di remediation.

Clicca qui e richiedi subito una Demo!
Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr