La guida

GDPR, monitorare la compliance nel tempo: i 7 passi per aggiornare il sistema gestione privacy

Non basta adeguarsi al GDPR, bisogna mantenersi compliant anche con il passare del tempo: ecco le regole fondamentali con i consigli per le aziende

20 Mar 2020
R
Maria Livia Rizzo

Avvocato, Studio Legale Stefanelli&Stefanelli


Il principio di accountability è il fulcro attorno al quale si sviluppa l’intero GDPR. Non basta adeguarsi, ma bisogna mantenersi compliant al regolamento anche con il passare del tempo. Ecco un utile vademecum con tutti i passaggi da compiere per non sbagliare, in particolare nella revisione e aggiornamento del Sistema di gestione privacy.

Cosa dice il GDPR

La responsabilizzazione che incarna il principio di accountability viene di base ricollegata all’obbligo, per ogni titolare del trattamento, non semplicemente di ottemperare ai singoli adempimenti previsti dal GDPR, ma, ancor più opportunamente, di adottare un vero e proprio sistema di gestione privacy attentamente calato nella realtà dell’organizzazione, che renda i propri trattamenti compliant alla normativa.

Affinché la conformità sia effettiva, deve però aggiungersi un ulteriore e fondamentale dovere: quello di essere in grado di “darne conto”, ovvero di dimostrare l’adeguatezza delle misure di sicurezza impiegate, anche attraverso un riesame e aggiornamento delle stesse. Le misure tecniche e organizzative che devono essere messe in atto ai sensi dell’art. 32 comprendono infatti “una procedura per testare, verificare e valutare regolarmente” l’efficacia delle sesse al fine di garantire la sicurezza del trattamento.

La compliance alla normativa sulla data protection, infatti, non si esaurisce con la prima implementazione delle attività di adeguamento, ma presuppone un processo dinamico, che richiede di non fermarsi alla mappatura dello status quo dell’azienda oggi conforme al GDPR, ma che impone di mantenere tale conformità attuale nel tempo. L’efficacia di una tale revisione non va data per scontata, ma richiede, anzi, di tenere in considerazione molteplici fattori, che possono essere raggruppati in categorie.

Attenzione alle evoluzioni normative

Un aggiornamento del sistema di gestione privacy e della relativa documentazione (informative, procedure, atti di nomina, etc.) è necessario in primo luogo quando intervengono novità normative o giurisprudenziali in tema di diritto alla protezione dei dati.

Può trattarsi dell’introduzione di nuove norme, come avverrà per il Regolamento e-Privacy destinato a breve a sostituire la direttiva 2002/58/CE. Può trattarsi, inoltre, di modifiche alla disciplina esistente, come accadde per il Codice Privacy emendato dal D. Lgs. 101/2018, ma anche di pronunce degli organi giurisdizionali o di provvedimenti dell’Autorità Garante. Ad ogni modo, con riferimento a ogni singola azienda andrà verificato l’effettivo impatto di ogni aggiornamento normativo sulle attività di trattamento concretamente poste in essere.

Cambiamenti interni all’azienda

Quotidianamente nelle aziende possono essere prese delle decisioni che impattano sul trattamento di dati personali: dal cambio di modalità di gestione delle risorse umane all’adozione di nuove strategie di marketing, dall’inserimento di un form nel proprio sito web alla sostituzione di un fornitore, fino all’innovazione dei propri modelli di business. In particolare, situazione frequente nelle imprese è l’avvicendarsi del personale e la necessità di mantenere costante l’obbligo di garantire che tutti coloro che trattano dati in azienda sotto l’autorità del titolare siano adeguatamente formati per farlo ai sensi dell’art. 29 del GDPR.

WEBINAR
Sicurezza: IT e OT insieme per proteggere l'azienda dagli attacchi cyber
Sicurezza
Sicurezza dei dati

A ciò si devono aggiungere tutti i cambiamenti che riguardano gli strumenti con cui vengono trattati i dati, dalla rottamazione di vecchi PC alla decisione di fornire dispositivi portatili ai dipendenti, dall’intenzione di installare videocamere di sorveglianza a quella di introdurre l’utilizzo dell’impronta digitale per l’accesso ai locali aziendali. Ma non si tratta di una questione solamente tecnologica: anche lo spostamento di archivi cartacei da un contenitore, da una stanza, o da un edificio a un altro può avere un impatto considerevole in termini di protezione dei dati, in particolare per quanto riguarda l’affidabilità delle misure fisiche approntate.

Necessità di interventi correttivi

Testare, verificare e valutare l’efficacia delle misure tecniche e organizzative è tanto più importante quando emergono segnali evidenti che il sistema di gestione dei dati adottato in azienda non è sufficientemente idoneo rispetto a quanto il Regolamento prescrive, e richiede degli opportuni aggiustamenti. Al riguardo, un primo caso è quello in cui l’azienda subisca una violazione di dati o un incidente di sicurezza: sia che il data breach sia connesso al fattore umano sia che dipenda da una inadeguatezza degli strumenti ICT è necessario intervenire con degli interventi correttivi che, peraltro, il Garante richiede di indicare nella comunicazione di notifica della violazione da effettuare ai sensi dell’art. 33 del GDPR.

Così, ad esempio, può essere indicato acquistare un software privacy by design compliant per sostituire un programma informatico che non lo è e che ha causato l’incidente di sicurezza, ad esempio consentendo l’accesso da parte di tutte le risorse umane a dati che avrebbero dovuto essere trattati solo da alcuni dipendenti.

Dall’altro lato può essere appropriato ripetere la formazione del personale quando il data breach si è verificato perché uno o più dipendenti non hanno seguito le istruzioni operative precedentemente fornite dal titolare, ponendo in essere comportamenti che hanno causato violazioni di dati. Ciò può riguardare l’ambito organizzativo, come nel caso in cui essi abbiano comunicato illegittimamente informazioni o abbiano omesso di chiudere a chiave un archivio o di far rispettare la distanza di cortesia. Ma può riguardare anche l’uso degli strumenti informatici, che aprono l’azienda a delle vulnerabilità quando, ad esempio, il lavoratore installa erroneamente software malevoli nel sistema informatico aziendale.

I 7 passi per aggiornare il Sistema di gestione privacy

La revisione e l’aggiornamento del Sistema di gestione privacy dovrebbe prevedere una procedura che comprenda le seguenti attività:

  1. una preliminare mappatura delle modifiche intervenute a livello aziendale relativamente a: personale; modelli di business che coinvolgono i dati personali; procedure interne; strumenti e modalità di trattamento dei dati. Se l’analisi del flusso dei dati è il punto di partenza fondamentale in sede di predisposizione di un sistema di gestione privacy, lo è anche in sede di verifica di quanto deve essere adattato o variato. In questa fase, l’acquisizione delle informazioni può essere gestita procedendo ad interviste rivolte alla dirigenza o ai responsabili delle funzioni aziendali che trattano dati personali, anche mediante la somministrazione di checklist la cui compilazione può essere gestita da ciascuno di essi in autonomia e programmata in base alle proprie esigenze di lavoro. Infine, laddove i cambiamenti abbiano impattato in maniera significativa sui locali aziendali o sulle misure di sicurezza fisiche, potrà essere invece opportuno valutare lo svolgimento di un successivo audit direttamente presso l’azienda.
  2. una analisi dell’impatto delle novità normative e giurisprudenziali in materia di data protection sulla realtà aziendale e sugli specifici trattamenti effettuati, e della conformità del Sistema di gestione privacy a tali aggiornamenti. Ad esempio, andrà esaminato l’impatto effettivo delle nuove Linee guida 3/2019 dell’EDPB (European Data Protection Board) in tema di videosorveglianza sulle aziende che hanno installato telecamere nelle loro strutture.
  3. una verifica degli eventuali incidenti di sicurezza e violazioni di dati subiti dall’azienda, per la predisposizione di misure correttive. In particolare, la reiterazione di incidenti di sicurezza o data breach dello stesso tipo fa scaturire l’urgenza di revisionare le misure di sicurezza in essere, ed eventualmente sostituirle con misure parametrate al rischio effettivo che quel tipo di violazione possa nuovamente verificarsi.
  4. una analisi – in caso di provvedimenti sanzionatori comminati all’azienda – delle eventuali richieste di informazioni rivolte dall’Autorità Garante all’azienda e un esame dei verbali di ispezione, per una revisione sostanziale dei trattamenti dalla cui effettuazione è scaturita la sanzione.
  5. una verifica della correttezza del registro dei trattamenti e della documentazione di implementazione sulla base di quanto emerso ai punti precedenti. L’aggiornamento del registro è fondamentale affinché la visione d’insieme dei trattamenti effettuati permanga attuale e fornisca un punto fermo attorno a cui formulare le considerazioni giuridiche e tecniche e da cui far derivare gli interventi correttivi. Il registro puntualmente aggiornato è altresì il punto di partenza per procedere alla revisione dell’intera documentazione di adeguamento. La scelta, ad esempio, di ridurre il tempo di conservazione di una determinata categoria di dati a fini di marketing deve essere mappata nel registro e tale variazione deve essere indicata anche nell’informativa rivolta agli interessati.
  6. una sessione formativa di aggiornamento. La revisione del Sistema di gestione privacy aziendale deve andare di pari passo con la relativa formazione del personale, che deve essere calibrata proprio sulle modifiche intervenute. In generale, in considerazione delle frequenti evoluzioni normative, e dei provvedimenti e linee guida in continua emissione che influsicono anche a livello interpretativo sui trattmenti di dati personali, è opportuno che la formazione dei soggetti che trattano dati personali venga ripetuta a intervalli regolari, sia con finalità di aggiornamento, sia per mantenere alta l’attenzione del personale sul rispetto delle prescrizioni.
  7. La redazione di un report finale sul mantenimento dello stato di compliance al GDPR. La predisposizione da parte del DPO di una relazione che dia evidenza del grado di compliance raggiunto e/o mantenuto dall’azienda e, nello specifico, delle attività implememtate e delle non conformità da sanare si rivela uno strumento utile per fornire indicazioni anche strettamente operative al titolare e per consentire al DPO di adempiere ai propri obblighi di sorveglianza previsti dall’art. 39 del Regolamento.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5