Dopo oltre due anni dall’entrata in vigore del GDPR (General Data Protection Regulation), continuano i controlli del Garante Privacy in materia di adeguamento al Regolamento Europeo 2016/679.
Per non trovarsi impreparati a superare eventuali ispezioni, è necessario svolgere e saper documentare le attività di audit che ogni azienda o studio professionale dovrebbe inserire nei propri processi di Compliance e Risk Management. (Leggi anche l'articolo "GDPR: l'importanza dell'audit"). Questo aspetto riveste un carattere fondamentale: il GDPR infatti non prevede un adempimento "una tantum", ma un sistema integrato di protocolli, accorgimenti tecnologici e strumenti organizzativi da implementare giorno dopo giorno e monitorare periodicamente. Spesso nelle realtà aziendali sono proprio le verifiche sistematiche che vengono a mancare (i cosiddetti controlli di secondo o terzo livello), ecco perché anche in sede di ispezione da parte dei funzionari di Stato sarà importante documentare gli audit svolti internamente, per questo motivo adottare un piano di verifiche documentate e preventive del proprio sistema di trattamento dei dati personali ha un’importanza fondamentale nel comprovare l’Accountability del Titolare del trattamento (per capire meglio, leggi anche l'articolo "Cosa significa Accountability?")..
Inoltre investire in Compliance significa ambire ad una gestione virtuosa dell'organizzazione aziendale, capace di aumentare l’efficienza, l’efficacia e la competitività di una realtà operativa. I risultati e l’esito dovranno essere documentati attraverso un report che deve contenere o richiamare le modalità per correggere ed eventualmente colmare le carenze rilevate. Ovviamente, coloro che decideranno di implementare un sistema di audit GDPR di secondo livello, in outsourcing, "alleneranno" inevitabilmente l'organizzazione ad affrontare e superare con successo le eventuali verifiche ispettive. Ecco allora alcuni suggerimenti per affrontare e superare il rischio di rilevazione di non conformità o di infrazioni alla legge con conseguenti sanzioni amministrative e penali in caso di verifiche ispettive:
Adottare, aggiornare e sottoscrivere con data certa il Registro dei Trattamenti (art. 30 GDPR). Questo è un documento fondamentale perché individua e mappa tutta la mole e la natura dei dati trattati dall'organizzazione, classificandoli per finalità omogenee, con indicazione "sintetica" delle misure di sicurezza adottate per gestirli e proteggerli in modo adeguato (leggi anche "Che cos'è il Registro dei Trattamenti").
Nominare e comunicare al Garante Privacy il DPO (Data Protection Officer), ove necessario, oppure effettuare una relazione/autodichiarazione attestante la non necessarietà della sua presenza (per saperne di più sulla figura del DPO, leggi anche l'articolo "Chi è il DPO?"). In questi anni alcune aziende si sono improvvisate a nominare DPO "interni" senza specifica competenza o esperienza in materia. In realtà il DPO è un soggetto che deve essere molto preparato sia in termini di normativa sia in termini di procedure aziendali, sarà lui infatti ad essere convocato in prima battuta dal Garante Privacy per fornire e motivare le spiegazioni del caso (leggi anche GDPR: DPO Interno o esterno all'azienda?) .
Se necessaria in funzione della normativa, verificare e relazionare per iscritto una DPIA (Data Protection Impact Assessment o Valutazione d'Impatto della Protezione dei Dati) rispetto ai trattamenti effettuati dall'azienda.
Adottare misure tecniche ed organizzative che "tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche" siano in grado di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, abbiano la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico. Per questo motivo è necessario dimostrare di avere delle corrette procedure e una valida analisi dei rischi per quanto riguarda la sicurezza informatica.
Adottare un sistema di informative adeguato, semplice, completo, verso tutti gli interessati (clienti, dipendenti, fornitori, visitatori, utenti del sito web, candidati, acquirenti on line, etc.), in regola col principio di trasparenza.
Raccogliere e conservare (e saper comprovare di averlo fatto) i moduli di consenso informato rispetto ai trattamenti che lo richiedono (newsletter, marketing, trasferimento extra UE dei dati, dati ex art. 9 GDPR raccolti per finalità su cui non vi sia già un'autorizzazione o provvedimento del Garante che ne riconosca la liceità a prescindere dal consenso, etc.).
Avere una gestione chiara dei Data Breach che preveda tutto l’iter comunicativo e le azioni da adottare.
Avere un piano formativo adeguato per tutte le persone coinvolte nei vari trattamenti, con la certezza delle verifiche in modo da poter dimostrare che si sia accertata la reale preparazione del personale addetto.
Aver nominato per iscritto tutti i soggetti incaricati di elaborare dati per conto dell'organizzazione, secondo standard contrattuali ritenuti esaustivi e conformi al dettato normativo (art. 28 GDPR).
Aver implementato protocolli per pseudonimizzazione/cifratura dei dati particolarmente pregiudizievoli e politiche omogenee sulla loro conservazione.
Ad ogni organizzazione corrisponde un diverso sistema integrato per una corretta gestione e protezione dei dati personali, quindi, per chi non lo avesse già fatto, è doveroso avviare subito un percorso di mappatura, progettazione ed attuazione di un sistema di gestione dei dati customizzato e strutturato secondo compatibilità economiche, natura dei dati e peculiarità strutturali sia in termini di risorse che di mezzi per soddisfare in pieno il principio di accountability (se non l'hai ancora letto, qui trovi l'articolo "Cosa significa Accountability?"). Naturalmente i nostri consulenti sono sempre a vostra disposizione per qualsiasi chiarimento e supporto ai nostri contatti:
Cel. 371 46 37 145 - 371 46 30 129
E-mail: info@enterprise-solutions.net
Tramite chat con un nostro operatore cliccando sul box "Serve aiuto" o ". . ." nella versione Mobile.