L’attività di monitoraggio e verifica, insieme alla formazione, aiutano a mantenere vivo e costante il presidio della norma. Infatti, un sistema di gestione dei dati personali o meglio che rispecchi i requisiti normativi del GDPR deve aver raggiunto la gap analysis necessaria per controllare i rischi e individuare ogni attività di implementazione, modifica, miglioramento. L’obiettivo è poter supportare le organizzazioni e il Titolare del trattamento ai fini dell’accountability.
Indice degli argomenti
Il contesto
Il Titolare, tenuto conto della natura, oggetto, contesto e finalità del trattamento nonché della probabilità e gravità dei rischi per diritti e libertà delle persone fisiche, deve, da “controller”, anche controllare e supervisionare quel sistema attraverso attività di monitoraggio e di verifica. In un sistema, che così potremmo definire dinamico, si possono rinvenire pro attività e consapevolezza e ciò quanto a tutti i soggetti coinvolti all’interno dell’organizzazione del titolare nonché quanto ai soggetti esterni quali ad esempio i fornitori.
Non basta aver mappato i trattamenti in essere o aver compilato check list di conformità dando istruzioni anche ai fornitori ed implementando ogni necessaria misura per poter confermare la propria “compliance”, se poi tutto è stato archiviato alla data di implementazione e costruzione del sistema senza nessuna attività successiva in grado di dare conto, invece, dell’effettiva e concreta attività di controllo e monitoraggio.
Le check list di controllo e dalle quali si evidenzia quanto il sistema implementato sia adeguato o meno devono essere viste non già come un momento di perdita di tempo o ancora come un elenco a cui rispondere semplicemente con un sì o no o per comodità dichiarando la non applicabilità o semplicemente apporre o meno una spunta. La logica sottesa al loro utilizzo è e deve necessariamente essere quella di rappresentare l’attività di verifica e di adeguatezza sulle misure implementate e definire, nel caso, attività di miglioramento e integrazione necessarie.
I controlli necessari
L’attività di controllo non può prescindere dalla necessità, in particolare con riferimento alla filiera dei soggetti fornitori, di fotografare ogni utile aspetto che dia evidenza dell’adeguatezza in particolare di sistemi e misure non solo organizzative ma anche tecniche e ciò tanto nella fase di pre qualifica degli stessi ovvero in vista della sigla dei contratti (pensiamo alle scelte di soluzioni tecnologiche e alla possibilità di rinvenire proprio grazie alle liste di assessment prodotti e servizi adeguati), tanto e soprattutto nel corso dell’esecuzione degli stessi.
Quando l’art. 32 del GDPR parla di adeguatezza o di stato dell’arte e di misure che siano in grado di assicurare un livello di sicurezza adeguato al rischio, è anche richiesto, tra le misure, “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”. Le sanzioni sin qui applicate, nella maggior parte, riguardano proprio l’assenza di misure di misure di sicurezza e si basano sulla violazione, tra gli altri, proprio dell’art. 32.
Gli obiettivi
L’attività di sorveglianza e la proattività fungono pertanto da supporto ad esempio per le attività interne consentendo di monitorare e verificare se all’interno dell’organizzazione, procedure e processi siano allineati al sistema impostato e se, in particolare, l’adeguatezza quanto ai sistemi e alle misure di sicurezza possa essere confermata o meno, potendo così ricorrere, se del caso, a scelte che possano consentire di mitigare i rischi, di poter individuare piani di miglioramento, di poter raggiungere o individuare una maggiore consapevolezza per i soggetti coinvolti ad esempio con i piani di formazione o ancora poter rivedere i registri del trattamento e intraprendere ogni più utile attività ai sensi della normativa vigente.
Sorveglianza e proattività vigilano e guidano inoltre le scelte sui fornitori per avere garanzie idonee in merito alla loro conformità consentendo di sapere se ed in che misura sia stata osservata l’adeguatezza delle misure di sicurezza, sia stata applicata la normativa e se siano state o meno eseguite le istruzioni fornite.
La filiera
I fornitori stessi a loro volta senza subire le liste ma anzi a dimostrazione del ruolo “attivo” che hanno, possono dare evidenza di come magari in assenza di una misura indicata siano in grado, tuttavia, ugualmente di confermare la propria affidabilità ed adeguatezza. Non perdere di vista i propri dati e la propria filiera diventa di fondamentale importanza proprio per confermare che l’adempimento alla norma non sia rimasto fine se stesso ma invece garantisca con continuità le attività di compliance siano esse interne o esterne.
È così che allora il sistema vive e permea i processi stessi di un’azienda con un’attenzione al cambiamento costante che va sempre colto come una opportunità e ciò anche nell’ottica di rivedere e monitorare anche sotto l’aspetto tecnologico ogni passaggio inerente ad esempio gli investimenti e le attività di miglioramento.
Conclusione
Controlli e requisiti diventano in tal modo elemento fondamentale per guidare tutti i soggetti coinvolti attraverso l’analisi (con conseguente rivalutazione dei rischi) del modello di efficacia affinché la governance fatta non solo di processi e supporti documentali ma anche di scelte di infrastrutture e strumenti tecnologici aiuti a costruire modelli organizzativi e sistemi di gestione dei dati e delle informazioni a prova del GDPR e non solo.
