Piani di monitoraggio del DPO: best practice per le attività di verifica dei sistemi di protezione dati - Cyber Security 360

ADEMPIMENTI PRIVACY

Piani di monitoraggio del DPO: best practice per le attività di verifica dei sistemi di protezione dati

I piani di monitoraggio del DPO si concretizzano nell’effettuazione di attività di verifica delle azioni intraprese dal titolare del trattamento per garantire la conformità al GDPR, nonché l’effettiva implementazione e il rispetto delle policy, delle procedure e delle misure di sicurezza. Le best practice

09 Giu 2021
L
Federica Lamoratta

Avvocato, Pirola Pennuto Zei & Associati

V
Mario Valentini

Avvocato e DPO, Pirola Pennuto Zei & Associati

I piani di monitoraggio del DPO possono essere visti come una declinazione del principio di accountability e rappresentano un utile strumento non solo per poter assolvere agli obblighi di sorveglianza e controllo previsti dal GDPR a carico del responsabile della protezione dati, ma anche nello svolgimento di un monitoraggio sistematico sull’implementazione del Regolamento stesso da parte del titolare del trattamento.

L’utilità dei piani di monitoraggio del DPO

A distanza di tre anni dall’attuazione del Regolamento generale per la protezione dei dati personali 2016/679 (GDPR), infatti, sono ancora molti gli enti, in particolar modo privati, che conoscono poco la figura del Data Protection Officer (il DPO o responsabile della protezione dei dati , RPD) di cui agli art. 37 e ss del GDPR e i compiti che esso svolge.

Le linee guida sui responsabili della protezione dei dati pubblicate dal Gruppo di lavoro articolo 29 per la protezione dei dati, adottate il 13 dicembre 2016 e la cui versione emendata è stata adottata in data 5 aprile 2017 (“linee guida”), hanno fornito indicazioni su cosa sia il DPO, prevedendo che:

alcuni titolari del trattamento e responsabili del trattamento sono tenuti a nominare un RPD. Ciò vale per tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali”.

Inoltre, nelle suddette linee guida è disposto che “ove il Regolamento non imponga in modo specifico la designazione di un RPD, può risultare utile procedere a tale designazione su base volontaria”, incoraggiando, quindi, gli approcci di questo genere.

Il GDPR, quindi, riconosce nel DPO uno degli elementi chiave all’interno del nuovo sistema di governance dei dati.

Infatti, all’art. 38 del GDPR è previsto che il titolare del trattamento e il responsabile del trattamento assicurano che il DPO sia “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”, prevedendo, altresì, per quanto concerne le valutazioni di impatto sulla protezione dei dati che sia coinvolto fin dalle fasi iniziali e che il titolare del trattamento ha l’obbligo di consultarlo nell’effettuazione di tali valutazioni.

Le linee guida sopra richiamate prevedono, infatti, che:

assicurare il tempestivo e immediato coinvolgimento del RPD, tramite la sua informazione e consultazione fin dalle fasi iniziali, faciliterà l’osservanza del RGPD e promuoverà l’applicazione del principio di privacy (e protezione dati) fin dalla fase di progettazione; pertanto, questo dovrebbe rappresentare l’approccio standard all’interno della struttura del titolare/responsabile del trattamento”.

DPO nel settore pubblico, il vademecum del Garante privacy: ecco i casi di conflitto di interessi

I compiti principali del DPO

Il DPO, quindi, così come concepito dal legislatore europeo, è da considerarsi un vero e proprio presidio di legalità, indipendenza e imparzialità che si pone come punto di riferimento – nell’ambito della specifica realtà organizzativa – per l’Authority, per l’interessato e per il titolare del trattamento.

Inoltre, il DPO anche in ambito privato ha un ruolo pervasivo, dovendo essere coinvolto tempestivamente su ogni questione a esso inerente per garantire una protezione dei dati effettiva dei cittadini e al contempo tutelare il titolare e il responsabile del trattamento, dovendo supervisionare tutte le attività di attribuzioni dei ruoli e responsabilità, piani di sensibilizzazione, di formazione nonché le attività di controllo, ad esempio, adeguatezza dei piani di audit interno.

L’art. 39 del GDPR elenca, infatti, i principali compiti del DPO, che consistono nel:

  1. informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento, nonché da altre disposizioni nazionali o dell’Unione relative alla protezione dei dati;
  2. sorvegliare l’osservanza del Regolamento, di altre disposizioni nazionali o dell’Unione relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del GDPR;
  4. cooperare con l’Autorità Garante per la protezione dei dati personali;
  5. fungere da punto di contatto con l’Autorità Garante per la protezione dei dati personali per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Quanto costa un DPO: gli elementi per una corretta valutazione

Piani di monitoraggio del DPO: strumento di accountability

Un utile strumento, a disposizione del DPO, per poter assolvere agli obblighi di sorveglianza e controllo di cui alla lettera b paragrafo 1 dell’art. 39 del GDPR, è individuato nello svolgimento di un sistematico monitoraggio sull’implementazione del Regolamento 679/2016 da parte del titolare del trattamento.

Tale monitoraggio si concretizza nell’effettuazione di attività di verifica delle azioni intraprese dal titolare del trattamento per garantire la conformità alla normativa sulla protezione dei dati personali, nonché delle policy, delle procedure, delle misure di sicurezza definite dal titolare del trattamento a che siano effettivamente implementate e rispettate.

Inoltre, tali attività di verifica e controlli di conformità si configurano quale:

  1. strumento di tutela del titolare del trattamento rispetto a sanzioni o a richieste di risarcimenti di danni da parte di terzi, in quanto verificando il livello di conformità alla normativa è possibile individuare tempestivamente e correggere eventuali anomalie e criticità nella propria attività di trattamento;
  2. strumento di accountability a disposizione e supporto del Titolare del trattamento, il quale ha l’obbligo, disposto dall’art. 5 paragrafo 2 del GDPR di essere conforme alla normativa e, contemporaneamente, di potere in ogni momento dimostrare tale conformità attraverso misure tecniche ed organizzative adeguate (art 24 paragrafo 1 GDPR). Il principio di accountability viene poi ulteriormente rafforzato dall’art. 24 paragrafo 2 GDPR dove si afferma che tali misure devono essere riesaminate ed aggiornate.

Dimostrare l’accountability: il ruolo del DPO per la compliance aziendale

Metodologie per i piani di monitoraggio del DPO

La normativa non prevede specifiche regole che disciplinano le modalità di svolgimento dei controlli sulla conformità al GDPR.

In realtà non prevede neppure in capo al titolare/responsabile un vero e proprio obbligo di svolgere verifiche, salvo quanto disposto dall’art. 32 paragrafo 1 lettera d del GDPR, che dispone che il titolare del trattamento e il responsabile del trattamento mettano in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendano l’adozione “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.

Solo il DPO ha tra i propri compiti formali quello di effettuare un’attività di “sorveglianza” dell’osservanza della normativa sulla protezione dei dati personali da parte del titolare/responsabile.

In tale contesto, il titolare/responsabile o il DPO possono decidere liberamente quale metodologia utilizzare per svolgere l’attività di verifica.

Proprio in virtù di tale discrezionalità, risulta più corretto definire le attività di controllo come “verifica” e non come “audit”, in quanto non tutte le verifiche sono necessariamente strutturate sotto forma di audit.

Nel caso in cui il titolare/responsabile o il DPO desiderino svolgere una vera e propria attività di audit possono utilizzare metodologie già disponibili, come quelle proposte da ISO (ad esempio la 19011), da ISACA (per la parte ICT), dal “The Institute of Internal Auditors”.

Piani di monitoraggio del DPO: le verifiche privacy

I tipi di verifica che rilevano in ambito privacy sono, principalmente:

  1. l’autovalutazione degli adempimenti effettuati dal Titolare/Responsabile tramite strutture interne (audit/compliance) o esterne;
  2. la valutazione degli adempimenti effettuati dal DPO anche per il tramite di strutture interne (audit/compliance) o esterne;
  3. la valutazione del Titolare sugli adempimenti contrattuali del Responsabile;
  4. la valutazione del Titolare sugli adempimenti negoziati col DPO (intesa semplicemente come corrispondenza fra l’operato del DPO e quanto concordato contrattualmente, senza entrare nel merito delle modalità con cui tali attività sono state svolte);
  5. la valutazione del Titolare sui requisiti del DPO.

Inoltre, le verifiche sono caratterizzate dal dovere di controllare ambiti sia formalizzati, vale a dire per i quali la normativa indica nel dettaglio i requisiti attesi, sia non formalizzati, cioè ove la responsabilità della relativa concreta articolazione è in carico allo stesso titolare.

Quindi, ad di esempio, le verifiche possono avere ad oggetto:

  1. nei contesti formalizzati: informative, designazioni, basi giuridiche ecc.;
  2. in quelli non formalizzati: misure di sicurezza, modalità con cui sia stata effettuata l’analisi dei rischi, etc.

Le verifiche possono riguardare anche temi specifici introdotti da provvedimenti che integrano la normativa primaria (ad esempio amministratori di sistema, videosorveglianza, firma grafometrica) nonché aspetti tecnico/organizzativi del trattamento (profilazione, tempi di conservazione, modalità di esercizio dei diritti, qualità dei dati).

Conclusioni

Alla luce di quanto sopra esposto, e ai fini del rispetto del principio di accountability , il titolare del trattamento ed il DPO sono quindi chiamati a mettere in atto un programma di monitoraggio dei propri sistemi di protezione dei dati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3