Dallo scorso maggio sono iniziati i controlli del Garante in materia di adeguamento al GDPR 679/2016 – Privacy. Inizialmente limitata a settori specifici e limitati, a breve l’attività ispettiva sarà estesa ad ampio raggio, portando l’Italia allo stesso livello di altri Paesi europei.
Per trovarsi pronti a rispondere ad eventuali ispezioni è bene porre il focus su alcuni punti di primaria importanza ed effettuare audit interni per verificare la compliance. Per dimostrare la propria accountability (impropriamente “responsabilità”, traduzione limitativo rispetto alle intenzione del Legislatore) e mantenerla nel tempo, il titolare del trattamento deve mettere in atto un programma di monitoraggio dei propri sistemi di protezione dei dati.
Aziende alla prova dei controlli
Le attività di audit sono dunque fondamentali per l’adeguamento alla normativa sulla privacy. Il Segretario generale del Garante Privacy, Giuseppe Busia, nel corso del Privacy Day 2019 presso il CNR di Pisa, ha infatti ricordato che:
il GDPR non prevede un adempimento una tantum, ma una manutenzione continua in un cammino che si fa di giorno in giorno
Da questo punto di vista c’è ancora molta strada da fare, A confermalo è anche lo studio dell’Eurobarometro pubblicato a giugno 2019, dove l’Italia risulta al penultimo posto in merito a conoscenza della norma e attività svolte dalle autorità di vigilanza.
È evidente che esiste una forte differenza tra adempimento formale e adempimento sostanziale. Una problematica riscontrabile nelle aziende è proprio la mancanza di verifiche sistematiche. Il rischio va prevenuto, non solo mitigato.
Gran parte dei problemi sono frutto di mancati controlli periodici, che possono invece essere attuati mediante normali audit. Si tratta di un processo di valutazione indipendente che si svolge periodicamente sulla base di un’attività di campionamento volto ad ottenere evidenze, relativamente ad un determinato contesto di analisi (l’azienda) e valutarle con obiettività, al fine di stabilire in quale misura i criteri prefissati siano stati raggiunti o meno.
Come impostare l’audit
L’audit è lo strumento più importante per valutare se i requisiti vengono applicati in modo coerente e con regolarità nell’ambito dei processi e se il sistema produce i risultati desiderati. I principi sui cui si deve basare una corretta attività di audit sono:
- Integrità
- Imparzialità
- Professionalità
- Riservatezza
- Indipendenza
- Approccio basato sull’evidenza.
La tipologia e la dimensione del programma di audit, in termine di numero di attività di verifica da svolgere, nonché le risorse da impiegare, dipendono ovviamente dalla complessità dell’azienda e dalla rilevanza dei trattamenti svolti.
Adottare un piano di verifiche documentate e preventive del proprio sistema di data protection ha un’importanza fondamentale nel comprovare l’Accountability del Titolare del trattamento, nonché garantire la competitività sul mercato attraverso un adeguato livello di conformità al GDPR.
L’obiettivo dell’audit deve essere chiaro e focalizzato su specifici argomenti, come ad esempio il grado di conformità con la normativa e con le policy di data protection e l’efficacia delle azioni correttive. Le attività partono da un piano contenente obiettivi, criteri, metodologia, soggetti e settori aziendali coinvolti, presentato e condiviso prima con tutti per ricevere la massima collaborazione.
I risultati e l’esito devono essere documentati attraverso un report e classificati come:
- non conformità,
- osservazioni/opportunità di miglioramento,
- commenti/raccomandazioni.
Inoltre, il report deve contenere o richiamare le modalità per correggere/colmare le carenze rilevate.
Come prepararsi alle ispezioni
Di seguito ipunti di primaria importanza sui quali porre il focus per meglio predisporsi all’audit o alle ispezioni
- Avere le informative in regola per il principio di trasparenza l’informativa deve essere al centro di tutto il sistema privacy deve esserci, essere chiara, sintetica, avere i contenuti previsti dalla legge, essere facilmente consultabile, on site e da remoto, non deve essere generica e deve essere omnicomprensiva dei trattamenti effettuati dall’azienda.
- Il consenso al trattamento deve essere richiesto, raccolto in modo libero da parte dell’interessato, che sia esplicito, riferito ai trattamenti previsti e nel quale sia ben indicato il diritto di revoca.
- Il registro dei trattamenti deve essere tenuto costantemente aggiornato sia per una eventuale verifica da parte degli organi di controllo sia per la governance e l’accountability interna. Il registro deve essere aggiornato, chiaro, aderente alla realtà attuale dell’azienda, da questo devono potersi evincere i flussi dei dati, le responsabilità e le azioni di security adottate per la prevenzione dei rischi e quelle da adottare in caso di incidente.
- Avere una gestione chiara dei data breach che preveda tutto l’iter comunicativo e le azioni da adottare.
- Avere un piano formativo adeguato per tutte le persone coinvolte nei vari trattamenti, con la certezza delle verifiche in modo che si sia accertata la reale preparazione del personale addetto.
- Effettuare una verifica di adeguatezza delle misure di sicurezza adottate, che siano adottate sulla base di un’analisi dei rischi concreta ed attuale.
- Se è prevista la presenza del DPO questi dovrà essere molto preparato sia in termini di normativa sia in termini di procedure aziendali, sarà lui infatti ad essere convocato in prima battuta dal garante per dare le spiegazioni del caso. Purtroppo nella fretta dell’adeguamento non si è data particolare attenzione a questa figura che in alcuni casi potrebbe non essere all’altezza del compito assegnato.
- Verificare che, se si rende necessaria in funzione della normativa, sia stata fatta e sia coerente una valutazione di impatto.
Gli spunti sopra indicati possono essere un buon punto di partenza ma non sostituiscono una analisi ben fatta della situazione aziendale nel suo complesso che metta al sicuro da eventuali rischi. Per approfondimenti: info@ideaservices.eu
