ADEMPIMENTI PRIVACY

Piani di monitoraggio del DPO: best practice per le attività di verifica dei sistemi di protezione dati

I piani di monitoraggio del DPO si concretizzano nell’effettuazione di attività di verifica delle azioni intraprese dal titolare del trattamento per garantire la conformità al GDPR, nonché l’effettiva implementazione e il rispetto delle policy, delle procedure e delle misure di sicurezza. Le best practice

09 Giu 2021
L
Federica Lamoratta

Avvocato, Pirola Pennuto Zei & Associati

V
Mario Valentini

Avvocato e DPO, Pirola Pennuto Zei & Associati

I piani di monitoraggio del DPO possono essere visti come una declinazione del principio di accountability e rappresentano un utile strumento non solo per poter assolvere agli obblighi di sorveglianza e controllo previsti dal GDPR a carico del responsabile della protezione dati, ma anche nello svolgimento di un monitoraggio sistematico sull’implementazione del Regolamento stesso da parte del titolare del trattamento.

L’utilità dei piani di monitoraggio del DPO

A distanza di tre anni dall’attuazione del Regolamento generale per la protezione dei dati personali 2016/679 (GDPR), infatti, sono ancora molti gli enti, in particolar modo privati, che conoscono poco la figura del Data Protection Officer (il DPO o responsabile della protezione dei dati , RPD) di cui agli art. 37 e ss del GDPR e i compiti che esso svolge.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

Le linee guida sui responsabili della protezione dei dati pubblicate dal Gruppo di lavoro articolo 29 per la protezione dei dati, adottate il 13 dicembre 2016 e la cui versione emendata è stata adottata in data 5 aprile 2017 (“linee guida”), hanno fornito indicazioni su cosa sia il DPO, prevedendo che:

alcuni titolari del trattamento e responsabili del trattamento sono tenuti a nominare un RPD. Ciò vale per tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali”.

Inoltre, nelle suddette linee guida è disposto che “ove il Regolamento non imponga in modo specifico la designazione di un RPD, può risultare utile procedere a tale designazione su base volontaria”, incoraggiando, quindi, gli approcci di questo genere.

Il GDPR, quindi, riconosce nel DPO uno degli elementi chiave all’interno del nuovo sistema di governance dei dati.

Infatti, all’art. 38 del GDPR è previsto che il titolare del trattamento e il responsabile del trattamento assicurano che il DPO sia “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”, prevedendo, altresì, per quanto concerne le valutazioni di impatto sulla protezione dei dati che sia coinvolto fin dalle fasi iniziali e che il titolare del trattamento ha l’obbligo di consultarlo nell’effettuazione di tali valutazioni.

Le linee guida sopra richiamate prevedono, infatti, che:

assicurare il tempestivo e immediato coinvolgimento del RPD, tramite la sua informazione e consultazione fin dalle fasi iniziali, faciliterà l’osservanza del RGPD e promuoverà l’applicazione del principio di privacy (e protezione dati) fin dalla fase di progettazione; pertanto, questo dovrebbe rappresentare l’approccio standard all’interno della struttura del titolare/responsabile del trattamento”.

DPO nel settore pubblico, il vademecum del Garante privacy: ecco i casi di conflitto di interessi

I compiti principali del DPO

Il DPO, quindi, così come concepito dal legislatore europeo, è da considerarsi un vero e proprio presidio di legalità, indipendenza e imparzialità che si pone come punto di riferimento – nell’ambito della specifica realtà organizzativa – per l’Authority, per l’interessato e per il titolare del trattamento.

Inoltre, il DPO anche in ambito privato ha un ruolo pervasivo, dovendo essere coinvolto tempestivamente su ogni questione a esso inerente per garantire una protezione dei dati effettiva dei cittadini e al contempo tutelare il titolare e il responsabile del trattamento, dovendo supervisionare tutte le attività di attribuzioni dei ruoli e responsabilità, piani di sensibilizzazione, di formazione nonché le attività di controllo, ad esempio, adeguatezza dei piani di audit interno.

L’art. 39 del GDPR elenca, infatti, i principali compiti del DPO, che consistono nel:

  1. informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento, nonché da altre disposizioni nazionali o dell’Unione relative alla protezione dei dati;
  2. sorvegliare l’osservanza del Regolamento, di altre disposizioni nazionali o dell’Unione relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del GDPR;
  4. cooperare con l’Autorità Garante per la protezione dei dati personali;
  5. fungere da punto di contatto con l’Autorità Garante per la protezione dei dati personali per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Quanto costa un DPO: gli elementi per una corretta valutazione

Piani di monitoraggio del DPO: strumento di accountability

Un utile strumento, a disposizione del DPO, per poter assolvere agli obblighi di sorveglianza e controllo di cui alla lettera b paragrafo 1 dell’art. 39 del GDPR, è individuato nello svolgimento di un sistematico monitoraggio sull’implementazione del Regolamento 679/2016 da parte del titolare del trattamento.

Tale monitoraggio si concretizza nell’effettuazione di attività di verifica delle azioni intraprese dal titolare del trattamento per garantire la conformità alla normativa sulla protezione dei dati personali, nonché delle policy, delle procedure, delle misure di sicurezza definite dal titolare del trattamento a che siano effettivamente implementate e rispettate.

Inoltre, tali attività di verifica e controlli di conformità si configurano quale:

  1. strumento di tutela del titolare del trattamento rispetto a sanzioni o a richieste di risarcimenti di danni da parte di terzi, in quanto verificando il livello di conformità alla normativa è possibile individuare tempestivamente e correggere eventuali anomalie e criticità nella propria attività di trattamento;
  2. strumento di accountability a disposizione e supporto del Titolare del trattamento, il quale ha l’obbligo, disposto dall’art. 5 paragrafo 2 del GDPR di essere conforme alla normativa e, contemporaneamente, di potere in ogni momento dimostrare tale conformità attraverso misure tecniche ed organizzative adeguate (art 24 paragrafo 1 GDPR). Il principio di accountability viene poi ulteriormente rafforzato dall’art. 24 paragrafo 2 GDPR dove si afferma che tali misure devono essere riesaminate ed aggiornate.

Dimostrare l’accountability: il ruolo del DPO per la compliance aziendale

Metodologie per i piani di monitoraggio del DPO

La normativa non prevede specifiche regole che disciplinano le modalità di svolgimento dei controlli sulla conformità al GDPR.

In realtà non prevede neppure in capo al titolare/responsabile un vero e proprio obbligo di svolgere verifiche, salvo quanto disposto dall’art. 32 paragrafo 1 lettera d del GDPR, che dispone che il titolare del trattamento e il responsabile del trattamento mettano in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendano l’adozione “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.

Solo il DPO ha tra i propri compiti formali quello di effettuare un’attività di “sorveglianza” dell’osservanza della normativa sulla protezione dei dati personali da parte del titolare/responsabile.

In tale contesto, il titolare/responsabile o il DPO possono decidere liberamente quale metodologia utilizzare per svolgere l’attività di verifica.

Proprio in virtù di tale discrezionalità, risulta più corretto definire le attività di controllo come “verifica” e non come “audit”, in quanto non tutte le verifiche sono necessariamente strutturate sotto forma di audit.

Nel caso in cui il titolare/responsabile o il DPO desiderino svolgere una vera e propria attività di audit possono utilizzare metodologie già disponibili, come quelle proposte da ISO (ad esempio la 19011), da ISACA (per la parte ICT), dal “The Institute of Internal Auditors”.

Piani di monitoraggio del DPO: le verifiche privacy

I tipi di verifica che rilevano in ambito privacy sono, principalmente:

  1. l’autovalutazione degli adempimenti effettuati dal Titolare/Responsabile tramite strutture interne (audit/compliance) o esterne;
  2. la valutazione degli adempimenti effettuati dal DPO anche per il tramite di strutture interne (audit/compliance) o esterne;
  3. la valutazione del Titolare sugli adempimenti contrattuali del Responsabile;
  4. la valutazione del Titolare sugli adempimenti negoziati col DPO (intesa semplicemente come corrispondenza fra l’operato del DPO e quanto concordato contrattualmente, senza entrare nel merito delle modalità con cui tali attività sono state svolte);
  5. la valutazione del Titolare sui requisiti del DPO.

Inoltre, le verifiche sono caratterizzate dal dovere di controllare ambiti sia formalizzati, vale a dire per i quali la normativa indica nel dettaglio i requisiti attesi, sia non formalizzati, cioè ove la responsabilità della relativa concreta articolazione è in carico allo stesso titolare.

Quindi, ad di esempio, le verifiche possono avere ad oggetto:

  1. nei contesti formalizzati: informative, designazioni, basi giuridiche ecc.;
  2. in quelli non formalizzati: misure di sicurezza, modalità con cui sia stata effettuata l’analisi dei rischi, etc.

Le verifiche possono riguardare anche temi specifici introdotti da provvedimenti che integrano la normativa primaria (ad esempio amministratori di sistema, videosorveglianza, firma grafometrica) nonché aspetti tecnico/organizzativi del trattamento (profilazione, tempi di conservazione, modalità di esercizio dei diritti, qualità dei dati).

Conclusioni

Alla luce di quanto sopra esposto, e ai fini del rispetto del principio di accountability , il titolare del trattamento ed il DPO sono quindi chiamati a mettere in atto un programma di monitoraggio dei propri sistemi di protezione dei dati.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr