L’entrata in vigore, nel 2018, del GDPR, ha reso necessario, per tutte le aziende, elaborare un nuovo modello di gestione dei dati personali. Ciò in virtù del principio di “accountability” (in italiano, “responsabilizzazione”) previsto all’art. 5 c. 2 del Regolamento Europeo, che pone l’obbligo, in capo ad ogni titolare, di provare il rispetto dei principi fondamentali alla base del trattamento dei dati: liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, privacy by design e by default.
In concreto, ciò ha richiesto, nella prima fase di adeguamento, la redazione di una serie di documenti di carattere “statico”, miranti a descrivere, in modo analitico, le tipologie e le modalità di trattamento dei dati personali poste in essere dall’impresa, regolare i rapporti con i fornitori e gli interessati, valutare i rischi connessi al trattamento o, infine, adeguare le misure di sicurezza in uso al livello di rischio rilevato.
Perché la compliance sia effettiva, però, è necessario che il processo di adeguamento arrivi ad incidere sull’operatività quotidiana dell’organizzazione, cambiando il modo in cui le persone lavorano e gli strumenti che usano.
A due anni di distanza dall’entrata in vigore del GDPR questo passaggio da un primo approccio “statico” alla compliance ad uno “dinamico” non è più eludibile.
Occorre, cioè, trasportare l’insieme degli adempimenti sinora posti in essere all’interno delle prassi operative (politiche, procedure, standard aziendali) che coinvolgono l’intero organigramma aziendale, al fine di rendere la tutela delle libertà personali degli interessati e la sicurezza dei dati parte integrante e sostanziale del modus operandi dell’impresa.
Questo è esattamente quello che recita l’articolo 24. 2 del GDPR: “[…] le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.”
Indice degli argomenti
L’adeguamento “dinamico” al GDPR
Svolte le dovute premesse, in quali attività si sostanzia, dunque, l’adeguamento “dinamico” alle norme ed ai principi propri del GDPR? Come può il modello di gestione elaborato sulla carta integrarsi correttamente nei frenetici ritmi ed equilibri operativi aziendali?
Le attività da porre in essere sono principalmente tre:
- formare i dipendenti al fine di renderli pienamente partecipi nel processo di trattamento dei dati personali (consentendo loro, in tal modo, di comprendere e fare propri i principi del GDPR, nonché di fornire preziose indicazioni sulle possibili migliorie da apportare, nel tempo, alle prassi);
- dotare le unità operative di strumenti adeguati alla realizzazione degli obiettivi contenuti nel modello di gestione;
- implementare gli strumenti tecnologici utilizzati e le procedure organizzative secondo logiche omogenee ed integrate, che non vadano a ledere l’operatività aziendale.
Analizziamo in profondità, ad esempio, il tema relativo al rapporto Titolare-Responsabile, cioè il rapporto con i fornitori il cui incarico comporta il trattamento di dati personali per conto del Titolare, regolato dall’art. 28.
Il GDPR chiede al titolare di scegliere i propri fornitori solo fra soggetti in grado di garantire una adeguata tutela dei dati personali del cui trattamento dovessero essere incaricati.
Nel concreto, questo significa che l’iscrizione all’albo fornitori (o la procedura di pre-selezione equivalente) di un aspirante fornitore dovrà prevedere una verifica preliminare, certo non di eccessivo dettaglio, di questa capacità. Un modo semplice è elaborare specifiche checklist che possano guidare l’autodichiarazione del candidato sulla propria conformità al GDPR.
Nel momento in cui, poi, si concluderà il contratto col fornitore, sarà necessario definire clausole contrattuali specifiche, coerenti con l’art. 28 GDPR e in grado di trasferire al fornitore Responsabile del trattamento gli obblighi di conformità che il Titolare mantiene verso gli interessati, inclusi quelli relativi alla sicurezza, cioè le misure di sicurezza da applicare al trattamento.
Se guardiamo a quest’ultimo aspetto, non può sfuggire il fatto che le misure di sicurezza che il fornitore-Responsabile deve garantire, dipendono dalle caratteristiche del trattamento che gli viene affidato, cioè dei rischi connessi.
Non ha dunque senso che per ogni fornitore-responsabile e per ogni trattamento siano previste le medesime misure di sicurezza che potrebbero essere eccessive in un caso e insufficienti per un altro: il Titolare deve valutare preventivamente il rischio associato al trattamento la cui esecuzione intende affidare al fornitore e definire conseguentemente gli obblighi contrattuali in materia di sicurezza, cioè le misure da richiedere.
Infine, nel corso dell’esecuzione del contratto stesso è necessario verificare, altresì, l’operatività e il rispetto da parte del fornitore prescelto degli obblighi contrattuali pattuiti.
L’onere di questa attività di verifica deve essere opportunamente calibrato, anche in funzione della rischiosità del trattamento, per non generare costi sproporzionati ma l’assenza assoluta di politiche e procedure che garantiscano controlli adeguati è certamente una non-conformità grave che verrà messa in evidenza immediatamente, in caso di data breach, dalla notifica di questo all’Autorità di controllo che diventerà così una sorta di autodenuncia.
In sintesi, dunque, affinché il modello di gestione dati sia effettivo ed efficace, occorre che si sostanzi in policies operative che consentono di dirimere problemi operativi ordinari e semplici ma quotidiani e altri straordinari e casi complessi, pure estremamente diffusi nella prassi operativa.
L’adeguamento al GDPR e il ruolo del consulente
La data protection è una materia complessa, in continua evoluzione insieme al contesto tecnologico in cui siamo sempre più immersi. Per le organizzazioni, mantenere al proprio interno la competenza necessaria e assicurarne l’aggiornamento costituisce uno sforzo importante che, a meno di casi particolari, si giustifica solamente, e anche lì solo in parte, nelle grandissime organizzazioni.
Diventa così rilevante il ruolo del consulente: un partner che accumula e mantiene la propria competenza grazie alle diverse esperienze professionali in cui è coinvolto e grazie a questo può rendere, a ciascun cliente, un contributo specialistico sempre aggiornato.
È un compito complesso. Per aiutare in concreto il cliente a raggiungere i propri obiettivi di compliance, anche il supporto consulenziale deve essere adeguato e non può limitarsi alla produzione di documentazione – legale, organizzativa o tecnica – statica.
È responsabilità del consulente aiutare l’organizzazione a focalizzarsi sulla creazione di policies e procedure, commisurate, per complessità e articolazione, al contesto e alla cultura aziendale e, al contempo, assicurare il necessario supporto per la loro effettiva attivazione e verifica.
Questa attenzione è ciò che distingue la consulenza di carattere preventivo e dinamico, necessaria per coinvolgere e formare le persone cui è destinata e ridurre l’impatto sull’operatività, garantendo, allo stesso tempo, il raggiungimento e il mantenimento di un adeguato livello di compliance.
L’innovazione al fianco dell’operatività
Alla dimensione rivolta all’operatività “as is”, occorre che il modello di gestione della data protection affianchi la dimensione rivolta all’innovazione: il titolare, infatti, si trova di continuo a dover introdurre all’interno della propria azienda nuovi processi, nuove tecnologie e nuovi servizi per mantenere la propria qualità e competitività per crescere di pari passo con le richieste del mercato.
Il Legislatore, nel redigere il GDPR ne era ben consapevole e ha affrontato questo tema facendo proprio il principio della data protection by design che impone al Titolare di considerare le implicazioni dell’innovazione sui diritti tutelati dal GDPR fin dal momento della progettazione dell’innovazione.
L’obiettivo di questo principio è trasformare la protezione dei dati personali in uno dei tanti elementi che devono essere presi in considerazione nel progettare una innovazione per renderla più efficace.
Al riguardo, infatti, l’ EDPB (European Data Protection Board, organismo composto dai Garanti europei) nelle Linee Guida per l’applicazione dell’art. 25 – Data Protection by Design e by Default – ha puntualizzato con chiarezza che progettare l’innovazione fin dall’inizio secondo i principi della Data Protection by Design &Default, costituisce per il titolare non solo un obbligo di conformità ma anche l’approccio che consente maggiormente di ottimizzare i costi e la qualità dell’innovazione stessa.
Più semplice a dirsi che a farsi: oggi l’innovazione non passa più solo attraverso grandi progetti strutturati, pianificati, eseguiti e controllati in modo formale ma anche attraverso interventi puntuali, di respiro circoscritto a un reparto e di costo contenuto ma potenzialmente di impatto assai rilevante, per la protezione dei dati personali ma anche per la sicurezza dell’organizzazione in generale.
Acquistare una app intrigante per offrire un nuovo servizio ai clienti, attivare un nuovo sito per richiamarne l’attenzione sono iniziative che possono comportare investimenti modesti ma nascondere rischi importanti.
Intercettare tutte le ricadute di questa sana spinta all’innovazione nel momento della progettazione è un compito complesso che richiede innanzitutto la sensibilizzazione e la formazione di tutti i soggetti potenzialmente interessati.
Anche in questo caso il consulente svolge un ruolo chiave: all’inizio aiutando l’organizzazione a dotarsi di regole adeguate ma snelle e poi, nel quotidiano, evitando che la Data Protection by Design diventi un mero adempimento burocratico che non produce valore: riflettere in sede di progettazione sull’impatto dell’innovazione sui diritti e le libertà degli interessati obbliga l’organizzazione a guardare l’innovazione da una prospettiva diversa, mettendosi in sintonia non solo con le proprie aspettative ma anche con quelle di stakeholders importantissimi, come sono – sempre – gli interessati, dipendenti, clienti, consumatori o cittadini che siano.
La nuova frontiera della “consultech”
In conclusione, un cenno alla nuova frontiera della consulenza che va spesso sotto il nome di “consultech”.
Non è più possibile pensare di assicurare la conformità a una qualsiasi norma e tanto più a una norma complessa come il GDPR senza il sostegno di adeguati strumenti software: tutto si digitalizza e anche la compliance non può sottrarsi a questa tendenza.
Allo stesso modo, se le organizzazioni si digitalizzano per diventare più efficienti, anche la consulenza deve evolvere i propri strumenti e le proprie modalità operative per aiutarle in questa trasformazione.
L’adozione di uno strumento software a supporto della conformità consente di consolidare il know how e l’esperienza in dati e strumenti digitali che son trasferibili e riusabili. Un consulente esperto oggi ha alle spalle decine o, in alcuni casi centinaia, di progetti di adeguamento al GDPR e di supporto alla compliance.
Con l’adozione di strumenti software questa esperienza diventa trasferibile e riusabile in modo molto più profondo ed efficace.
Il consulente moderno deve guidare questa trasformazione che consente di ridurre i rischi e i costi dei progetti di adeguamento e della compliance nel suo complesso e questo risponde ad una esigenza precisa non solo delle organizzazioni ma anche degli interessati che dall’efficacia degli sforzi delle organizzazioni per la conformità traggono maggiore rispetto per i propri diritti.
Una visione dinamica della compliance, strumenti digitali evoluti a supporto e un supporto consulenziale “consultech” sono i tre ingredienti che consentono di affrontare l’era dell’AI, dei bigdata, dei robot e del 5G che abbiamo ormai non davanti ma fra noi.
