La prima azione che un DPO deve compiere subito dopo la presa in carico di un’organizzazione consiste nel valutare l’attuale situazione della compliance e definire la base documentale su cui articolare le successive fasi di gestione.
Ciò è valido sia nel caso in cui un Data Protection Officer (DPO) prenda servizio in un’azienda che aveva ritenuto di poter fare a meno di una figura così importante e poi abbia cambiato idea, come può anche accadere che subentri a un DPO precedente. In questo secondo caso è necessaria, come prima azione, un passaggio di consegne e l’esame dei documenti prodotti dal DPO precedente.
Vediamo dunque nel dettaglio tutte le fasi di assessment della compliance.
Indice degli argomenti
DPO, la presa in carico: conoscere l’azienda
In ogni caso, il primo passo del DPO sarà cercare di conoscere l’azienda, prendendo visione dell’organigramma e cercando di capire se opera in una modalità prevalentemente B2C, caso in cui tratterà soprattutto i dati dei suoi clienti, o se prevale la modalità B2B e i dati esterni saranno relativi soprattutto ad altre aziende.
In questo secondo caso, al fine del trattamento dei dati personali, sarà più rilevante la tematica dei dipendenti, significativi sia numericamente, sia dal punto di vista della gestione, soprattutto per aziende manifatturiere con molta forza lavoro.
È anche importante sapere se l’azienda opera in un settore fortemente regolamentato, indipendentemente dalla privacy, come ad esempio il farmaceutico, il bancario-assicurativo, il sanitario, dove le norme settoriali si affiancano e si sovrappongono alla regolamentazione GDPR.
Il DPO, pur non essendo uno specialista dei diversi settori, deve in ogni caso essere in grado di capirne le dinamiche, quanto meno nell’ambito della privacy.
In sostanza, il DPO si andrà a costituire la baseline, il punto di partenza di conoscenza, basato sui documenti privacy presenti in azienda in seguito all’adeguamento GDPR e sui documenti eventualmente lasciati in carico dal DPO precedente.
DPO, la presa in carico: il registro trattamenti
La successiva azione del DPO che prende in carico l’azienda sarà la verifica del registro dei trattamenti. Il suo contenuto è indispensabile per capire cosa significa gestire la privacy nell’azienda in esame visto che, per i diversi trattamenti effettuati, contiene indicazioni su quali dati, trattati da chi, con quali finalità, con quali strumenti, a chi vengono comunicati all’esterno.
Ricordiamo che il DPO dovrà trovare un registro per ogni legal entity e, nel caso di aziende che operano il trattamento di dati personali per conto terzi (sia come fornitore, sia nel ruolo di capogruppo), oltre al registro del titolare del trattamento, dovrà essere previsto anche il registro del responsabile del trattamento.
La prima verifica dovrà riguardare l’esistenza dei registri stessi e la loro accessibilità, prima che lo faccia l’Autorità Garante. Inoltre, è fondamentale che i registi risultino aggiornati (anche in maniera formale) e non siano rimasti nella situazione in cui erano a conclusione del progetto di adeguamento GDPR.
Verificare se è disponibile una copia ufficiale dei registri, aggiornata e facilmente reperibile, serve al DPO anche per capire se l’azienda è uscita dalla fase di progetto di adeguamento GDPR (che come tutti progetti deve avere una fine e produrre un esito) e se è entrata nella fase di gestione continuativa; oppure se, finito il progetto di adeguamento, nomine e registri sono restati abbandonati in un cassetto.
Nella disgraziata ipotesi che tutto sia rimasto fermo, il DPO dovrà attivare tutti i meccanismi necessari perché la gestione della privacy diventi un’attività continuativa.
Verifica dello stato di formazione e informazione
Un ulteriore passo della presa in carico consiste nel prendere visione di cosa è stato fatto per la formazione e l’informazione, anche in termini di sensibilizzazione del personale.
Prima di definire qualunque piano di formazione privacy o aggiornarne uno esistente, il DPO dovrà prevedere un assessment per definire il livello delle competenze dell’azienda all’istante zero. Il suggerimento è quello di effettuare una survey preliminare, per verificare non tanto il livello di competenza delle singole persone, quanto la conoscenza media dell’azienda sulle diverse aree di competenza (ad esempio esercizio dei diritti degli interessati, data breach…) e nelle diverse unità aziendali (HR, marketing, vendite ecc.).
Aderenza alla realtà aziendale e coerenza fra documenti
Il DPO non dovrà limitarsi a un controllo formale, ma verificare se i registri riportano e descrivono correttamente i principali trattamenti effettuati e se il modello organizzativo privacy indicato, in termini di ruoli e responsabilità, sia entrato in funzione o se sia restato sulla carta.
Se viene descritto, ad esempio, un modello fortemente decentrato in cui sono previsti referenti interni a cui è stato assegnato il ruolo di aggiornare i registri o gestire l’esercizio dei diritti degli interessati, il DPO dovrà verificare che sia stato tradotto in realtà.
Dovrà invece segnalare la discrepanza nel caso in cui il registro continui ad essere aggiornarlo dall’ufficio legale o nel caso in cui sia il privacy officer a occuparsi dell’interessato che chiede di esercitare i suoi diritti, senza che i referenti siano coinvolti.
Il DPO dovrà anche verificare la coerenza interna fra le diverse famiglie di documenti.
Le informative devono ad esempio essere coerenti con i registri dei trattamenti, in termini ad esempio di finalità, basi giuridiche, tempi di conservazione e destinatari di comunicazione dei dati. Se nel registro si indica che alcuni trattamenti sono esternalizzati coinvolgendo responsabili esterni i cui nomi siano riportati nel registro, il DPO dovrà verificare la presenza delle nomine relative degli stessi soggetti.
Attivare flussi informativi per sapere cosa accade in azienda
Il DPO, soprattutto se esterno, subito dopo la presa in carico di un’organizzazione dovrà attivare meccanismi per essere costantemente informato su cosa accade in azienda, per evitare di non accorgersi di nuove attività rilevanti che possono richiedere un aggiornamento dell’impianto privacy, rendendo necessario aggiornare ad esempio l’analisi dei rischi o lo svolgimento della DPIA.
Il suggerimento (mutuato dagli organismi di vigilanza 231, dove è obbligatorio per legge) è di definire flussi informativi, ad esempio proponendo un questionario da compilare periodicamente (3-4 mesi), da figure aziendali il più possibile vicine al business.
Potrebbero essere i referenti interni, se sono previsti, o una figura centrale o il comitato privacy. Il DPO dovrà essere informato di nuove iniziative o progetti che potrebbero impattare sulle modalità o finalità di trattamento dei dati personali, come ad esempio nel caso si apra un nuovo call center, si lanci nuova app per i pagamenti, sia adottato un nuovo sistema IT o vengano esternalizzati dei servizi. Chi comunica le innovazioni non deve preoccuparsi se c’è trattamento dei dati o se l’attività è significativa per la privacy; sarà il DPO a valutarlo.
Attivare i flussi informativi è la fase conclusiva della presa in carico. Da questo punto il DPO è pronto a esercitare il suo ruolo di consulenza e controllo.
Un audit per completare la fotografia
Visto che uno dei compiti principali del DPO è fare i controlli, nel caso di prima nomina, gli audit iniziali saranno di completamento della fase di assessment e serviranno per costituire la baseline per fotografare, negli ambiti che si scelgono, sia quelli orizzontali (documentazione, procedure ecc.) sia quelli verticali (HR, IT, Marketing e via dicendo), qual è la situazione al tempo zero, così da poter misurare negli anni successivi i miglioramenti e le azioni di remediation.
