Dando ormai per acquisito che il Regolamento Privacy (GDPR) sia da considerare come un’opportunità che ogni impresa ha a disposizione per definire il modo in cui trattare correttamente i dati e non già come una costrizione o un ulteriore obbligo burocratico che rallenta l’attività aziendale stessa, ne consegue che gli adempimenti previsti dal GDPR non sono fini a sé stessi, non vanno posti in essere una tantum e poi dimenticati, bensì reiterati nel tempo mettendo in atto un opportuno aggiornamento periodico della documentazione privacy.
Indice degli argomenti
Aggiornamento della documentazione privacy e accountability
Adeguandosi al GDPR l’azienda dà prestigio alla propria immagine mettendo in evidenza la propria attenzione/preoccupazione ai dati delle persone con cui viene a contatto, dando in tal modo prova della propria responsabilità sociale oltre che delle proprie capacità di business, aumentando così la fiducia di utenti e consumatori circa la serietà e affidabilità dell’impresa.
Il Garante della Privacy, mostrando un atteggiamento collaborativo e non già impositivo nei confronti delle imprese, ha altresì evidenziato una serie di “best practice” cui le imprese possono fare riferimento per conformarsi alle norme di legge.
Posto dunque che tutti abbiano provveduto ad adeguarsi tempestivamente al GDPR, spostiamo l’attenzione alla necessità dell’aggiornamento periodico della documentazione e delle procedure da adottare al fine di garantire nel tempo la conformità alla normativa.
Nel rispetto del principio di responsabilizzazione (accountability) è necessario porre in essere le opportune misure che garantiscano non solo la protezione dei dati ma anche il controllo, la verifica e l’analisi delle procedure. Ciò potrà garantire il perpetrarsi della protezione del dato.
Per garantire questo oltre a dotarsi delle opportune tecnologie, è senz’altro di massima importanza istruire tutti coloro che trattano i dati e, seguendo la linea del Garante, non tanto attraverso un atteggiamento impositivo bensì di responsabilizzazione. Ogni soggetto che tratta dati deve divenire pienamente consapevole dell’importanza del trattare un dato correttamente e dell’impatto di un eventuale violazione dei dati (data breach). Ne consegue l’importanza della formazione del personale aziendale e in generale di chiunque tratti dati.
Molto utili risultano a tal proposito procedure periodiche di formazione del personale e di verifica dell’efficienza delle misure adottate.
La formazione è da considerarsi dunque una vera e propria misura di sicurezza e la reiterazione la rende sempre più efficiente.
Le norme ISO – trattate nell’articolo “GDPR, tutto sulle certificazioni: quali sono e a cosa servono” stabiliscono che l’audit, la verifica periodica, va fatto con cadenza almeno annuale e sono un ottimo strumento per verificare la conformità ai requisiti da rispettare per essere in regola.
Qualora si riscontri una non conformità si procede con un’azione correttiva, che va ad eliminare la causa di non conformità rilevata o di altre situazioni indesiderate rilevate e mettere in atto eventuali azioni preventiva.
L’audit, tuttavia, non deve sempre essere esterno ma può essere anche interno e anche chi non possiede una certificazione è opportuno che proceda periodicamente ad una verifica temporanea. Temporaneità che appunto la norma ISO stabilisce abbia cadenza annuale.
L’importanza della corretta valutazione del rischio
Tra le obiezioni fatte più frequentemente da parte di chi, non comprendendo appieno l’importanza dell’aggiornamento periodico né cogliendo l’opportunità di miglioramento che ne deriva, preferirebbe evitare gli aggiornamenti c’è il voler contestare che “la periodicità non è necessariamente annuale”, oppure che “dal momento che non ci sono state modifiche in azienda, non occorre fare l’aggiornamento visto che non ci sono stati cambiamenti rispetto allo scorso anno” o ancora che “i dati non vengono ceduti a nessuno”.
In generale, nella vita quotidiana le persone tendono a sottovalutare alcuni rischi e a sopravvalutarne altri. Questo atteggiamento non può tuttavia essere riportato in azienda, ove il rischio deve essere correttamente analizzato e valutato. Analizzare il rischio è la parte più importante del processo di gestione dello stesso. A tal fine è necessario avere un approccio metodico, formale e strutturato poiché il rischio non dipende dalle considerazioni personali di un soggetto ma è oggettivo e per gestirlo correttamente bisogna utilizzare l’approccio giusto.
L’imprenditore nello svolgimento della propria attività è per definizione chi prende delle decisioni e se ne assume i rischi, il rischio è una caratteristica del business e per abbassare i rischi bisogna prendere gli opportuni provvedimenti procedurali e di attrezzature. Questo comporta delle spese. È necessario pertanto definire il livello di rischio che si intende accettare e poi gestirlo.
La gestione del rischio (risk management) consiste nel porre in essere politiche di gestione, procedure ed azioni per identificare, analizzare, valutare, mitigare e controllare il rischio in modo sistematico. Il concetto di rischio comprende anche i dati personali (parliamo di rischio IT e di rischio privacy). Anche il processo di gestione del rischio che deve essere sistematico, analitico e continuo.
Le attività volte alla sua identificazione, analisi e mitigazione devono essere integrate nel ciclo di vita dei processi. Applicare metodi formalizzati (procedure) per identificare e analizzare i rischi. Definire strategie e priorità delle attività per gestirli.
Aggiornamento della documentazione privacy per la conformità GDPR
Pur essendo vero che il D.lgs. 101/2018 ha abrogato l’allegato B del vecchio Codice Privacy (D.lgs. 196/03), l’aggiornamento periodico con cadenza annuale è comunque da considerarsi una misura minima per garantire il mantenimento nel tempo dei requisiti di conformità al GDPR.
La documentazione va comunque aggiornata ed eventualmente migliorata. Ovvio che ciò avvenga quando ci sono state modifiche, che anzi, è opportuno segnalare immediatamente e indicare magari in un’appendice appositamente redatta qualora la modifica avvenga prima dei dodici mesi.
Vanno inoltre apportate modifiche dovute ad eventuali variazioni nella normativa vigente, valutati nuovi bisogni formativi. I requisiti di conformità al GDPR vanno insomma mantenuti nel tempo, e per mantenerli è indispensabile un costante monitoraggio.
Inoltre, se ci sono le ISO che nello stabilire una periodicità nelle verifiche adottano la frequenza annuale, va da sé che è una tempistica di riferimento anche per chi non si certifica.
Conclusioni
Adeguarsi ai principi del GDPR è dunque essenziale, ed altrettanto importante è fare in modo che tali requisiti vengano mantenuti nel corso del tempo.
Fare il punto della situazione almeno una volta l’anno consente di fare un bilancio di quanto è stato fatto nel periodo appena trascorso. Aiuta a verificare se eventuali irregolarità riscontrate in precedenza sono state corrette e funzionano o se continuano a sussistere e si deve ancora intervenire.
Consente di conoscere se tutto quello che andava bene l’anno scorso continua ad andare bene anche quest’anno, perché non necessariamente è così. Potrebbero essere subentrate, ad esempio, nuove esigenze aziendali, potrebbero esserci modifiche normative o essere giunto a scadenza il supporto tecnico dei sistemi operativi presenti sui computer aziendali.
È perciò opportuno provvedere ad aggiornarsi periodicamente al fine di poter garantire il corretto trattamento dei dati.