L’aggiornamento costante della compliance alla normativa privacy e al GDPR è un processo che richiede uno sforzo rilevante da parte delle organizzazioni, ma è l’unica garanzia per assicurarsi che sia mantenuto l’elevato standard raggiunto con i progetti di adeguamento.
Indice degli argomenti
La compliance GDPR come work-in-progress
Cari colleghi che siete responsabili della conformità aziendale alla normativa privacy, ho per voi una cattiva notizia: lo sforzo titanico che avete messo in campo nel corso dei progetti di adeguamento, in occasione dell’entrata in vigore del GDPR, e che vi ha consentito di raggiungere lusinghieri traguardi di compliance non è stato sufficiente.
D’altronde, lo sapete bene e lo avete ripetuto ai colleghi di tutti i settori aziendali che avete coinvolto, a volte trascinato, nella grande corsa all’adeguamento al Regolamento UE: “La compliance GDPR non può essere un progetto che si conclude nel tempo. È invece un processo continuo di miglioramento”.
Però, in fondo loro speravano che poi li avreste “lasciati in pace” ad occuparsi delle questioni di loro diretta competenza; e forse un po’ ci speravate anche voi di potervi godere gli allori almeno per qualche tempo. Quel tempo è ampiamente trascorso ed è bene che accettiate l’idea di rimettervi in cammino.
L’evoluzione della normativa
Potreste pensare che il principale driver di una revisione dell’impostazione adottata di fronte alla normativa privacy sia costituito dall’evoluzione della normativa stessa. Certo, anche questo è un fattore da tenere in considerazione, ma vedremo che non è il principale.
Il GDPR è stato pubblicato nel 2016 e da allora non ha subito alcuna modifica: il che non stupisce, dato che è stato concepito per durare vent’anni e che il compianto Garante Europeo Buttarelli amava dire “il primo che propone di modificare il GDPR sarà trascinato nella Grand Place a Bruxelles e giustiziato sommariamente”.
Tuttavia, il GDPR stesso lascia ampio spazio alla coabitazione con normative nazionali (preesistenti o successive) purché ovviamente non incompatibili: tanto che alla sua comparsa il testo del Regolamento fu visto da alcuni analisti come “una Direttiva travestita da Regolamento”.
Ad esempio, in Italia chi prevedeva che il Codice Privacy sarebbe stato spazzato via ha dovuto ricredersi e prendere atto della nuova versione, GDPR-compliant introdotta nel 2018 dal DL 101. Così come restano efficaci i provvedimenti del Garante (con le relative modifiche intervenute nel frattempo) e altri ne sono intervenuti successivamente.
Anche a livello europeo, attorno al GDPR sono sorte o sono in corso di emanazione altre normative il cui ambito di applicazione si affianca al GDPR stesso, delle quali quindi è necessario monitorare l’evoluzione: pensiamo solo al travagliato percorso del futuro Regolamento e-Privacy ed alla recente bozza di Regolamento sull’Intelligenza Artificiale.
Ci sono poi le preziose Linee Guida dell’EDPB (l’organismo collegiale dei Garanti Europei che ha preso il posto del WP29).
Resta quindi vero che la normativa evolve e richiede talvolta aggiustamenti alle misure già adottate dalle aziende, ma in fondo i princìpi della normativa non mutano così rapidamente; ci sono invece altri elementi la cui evoluzione richiede un’attenzione maggiore.
L’evoluzione del business
Proviamo a passare in rassegna gli strumenti che costituiscono l’impianto documentale ed operativo adottato dalle aziende per garantire il corretto trattamento dei dati personali (modello organizzativo, registro dei trattamenti, documentazione legale, procedure, analisi dei rischi, misure di sicurezza e via dicendo) e vedremo come tutti siano passibili di revisione a causa della naturale evoluzione che insiste inevitabilmente sulle attività delle aziende stesse.
Partiamo dal registro dei trattamenti che, come amo ripetere nei corsi GPPR, dell’ABC della privacy costituisce proprio la “A”, ovvero l’architrave su cui poggia il resto dell’architettura. Con la sua redazione avete realizzato una fotografia di quali dati personali sono trattati in azienda, con quali finalità e strumenti, a quali categorie di interessati si riferiscono, a quali soggetti terzi sono trasmessi, chi è l’owner interno del trattamento e diverse altre informazioni, che avrete poi utilizzato per individuare il livello di rischio che ogni trattamento comporta per i diritti degli interessati e di conseguenza quali misure di sicurezza adeguate a tali rischi debbano essere adottate.
Sapete bene che questa fotografia rischia di ingiallire rapidamente se non attivate appositi canali di monitoraggio per rilevare ogni variazione degli elementi presenti nel registro.
Per prima cosa, nuovi trattamenti, che possono derivare da nuove iniziative di business (ad es. un produttore agroalimentare che decide di aprire propri punti vendita), oppure di marketing (un nuovo call center o una newsletter, un sito o un’app): se, come è probabile, queste iniziative comportano un nuovo trattamento di dati personali, lo stesso dovrà essere aggiunto al registro, individuandone tutte le caratteristiche.
Non meno importanti sono le variazioni introdotte sui trattamenti esistenti: una esternalizzazione o internalizzazione di un processo, il ricorso ad un nuovo fornitore, il passaggio da una soluzione applicativa ad un’altra, o anche solo della stessa applicazione da una piattaforma on-premise ad una in cloud.
Senza trascurare l’aggiunta di nuove categorie di dati personali o di nuove tipologie di interessati, oppure il ricorso ad un trasferimento fuori dalla UE sinora non praticato.
Tutte queste innovazioni richiedono non solo l’aggiornamento delle relative voci del Registro dei trattamenti, ma a cascata possono richiedere l’aggiornamento delle informative verso i soggetti interessati, oppure nuove nomine come Responsabile verso terzi coinvolti nel trattamento, e così via.
Certamente richiedono una revisione dell’analisi dei rischi, in quanto alcune delle innovazioni potrebbero aumentare (o anche diminuire) il livello di rischio per gli interessati e di conseguenza richiedere una revisione delle misure di sicurezza, che potrebbero rivelarsi non più adeguate.
L’evoluzione della realtà aziendale
Non vanno infine trascurate le evoluzioni organizzative, merge&acquisition, riorganizzazioni operative, che non incidono direttamente sui trattamenti, ma possono rendere obsoleto il modello organizzativo adottato per la Governance, l’Execution ed il Controllo della Data Protection.
L’istituzione di nuove figure, ad esempio un Chief Information Security Officer (CISO), che sottrae la responsabilità della sicurezza informatica dalla giurisdizione della Direzione Sistemi, rischia di rendere inefficaci diverse procedure aziendali quali quelle previste per il data breach, la DPIA, l’analisi dei rischi e via dicendo.
Compliance GDPR: l’importanza dell’accountability
Vi ho convinto (se non lo foste già stati prima) della necessità di promuovere e condurre con convinzione una attenta considerazione degli elementi di novità che emergessero dal contesto o dall’interno dell’azienda, per poter prendere le opportune misure di aggiornamento.
Ancora una cosa: è raccomandabile tenere traccia di tutte le novità individuate come significative per la data protection, delle decisioni prese in merito e dei piani di attuazione delle decisioni stesse.
In termini di accountability, sarà importante dimostrare e documentare quali siano state le motivazioni per intraprendere una innovazione (ad esempio la nomina di un DPO, se prima lo avevate scartato) e lo stato di avanzamento dell’introduzione di nuove misure tecniche o organizzative.
Se si sono rese necessarie, non basterà farle approvare dagli organismi competenti, ma bisognerà anche portare a compimento la loro adozione e misurarne l’efficacia, documentando il tutto adeguatamente.
Contributo editoriale sviluppato in collaborazione con P4Ihub
