L'impatto del GDPR sui sistemi di controllo

Si può rivoluzionare un concetto senza nemmeno modificarlo? Il GDPR c’è riuscito, cambiando solamente la prospettiva e l’approccio al concetto di accountability.

‍Prima era regolato da un sistema di tipo formalistico basato su un elenco di misure minime da adottare stilato su previsione di regole formali.

Ora invece rappresenta un sistema di governance dei dati personali basato su un’alta responsabilizzazione sostanziale del titolare.

In questo cambio metodologico, il titolare del trattamento ampia il proprio raggio d’azione diventa un soggetto proattivo che deve prevenire e non correggere, fare scelte conformi al GDPR e dimostrarne l’adeguatezza e le motivazioni.

Nella sua centralità, il titolare è il responsabile della compliance che può essere continuamente esaminata e che quindi richiede la possibilità di essere aggiornata costantemente.

L’importanza del DPO (Data Protection Officer)

Per questo cambio di prospettiva e approccio, è altrettanto importante il ruolo del Data Protection Officer (DPO) che non ha vincoli esecutivi, ma svolge diverse funzioni:

• Coopera e funge da punto di contatto con l’autorità di controllo;
• Informa, consiglia e verifica l’osservanza del GDPR;
• Considera i rischi del trattamento;
• Fornisce un parere sulla DPIA (Valutazione di impatto) e ne sorveglia lo svolgimento.
  

La presenza del DPO non è obbligatoria in alcuni casi, ma in sua assenza, occorre un sistema di controllo che garantisca comunque un adeguato monitoraggio.

La sorveglianza del DPO sul GDPR rappresenta uno dei principali strumenti di Accountability per il titolare del trattamento che in questo modo può dimostrare l’effettività del modello della Data Protection.

In cosa consiste un controllo?

Per controllo si intende l’identificazione di non conformità del modello di protezione dei dati personali rispetto al GDPR e a norme di disposizione interne a cui segue l’implementazione di opportune azioni correttive, come ad esempio:

• Effettuare controlli a diversi livelli;
• Identificare eventuali aree di non conformità e calcolare il livello di rischio correlato;
• Studiare possibili soluzioni da implementare e definire un piano;
• Monitorare l’effettiva implementazione del piano di remediation.
  

Esistono 5 componenti del modello di controllo della Data Protection:

1. Monitoraggio aggiornamenti normativi: focus sulle sanzioni legate al mancato rispetto delle prescrizioni delle normative;
2. Testing e reporting: verifica dell’esistenza, dell’adeguatezza e dell’effettiva applicazione del modello per la protezione dei dati personali, con conseguente condivisione di informazioni con organi, figure e strutture adeguate sull’esito delle verifiche e degli interventi da attuare;
3. Risk assessment: individuazione e valutazione dei rischi potenziali, dei rischi residui e dei presidi di conformità;
4. Consulenza a strutture e ruoli aziendali per evitare il rischio di non conformità;
5. Formazione delle risorse umane per progettare iniziative GDPR-friendly.

Come si struttura un sistema di controllo

I controlli di competenza del DPO (o, in caso di assenza, di altre strutture di controllo) rappresentano i controlli di terzo livello.

I controlli di competenza del Comitato di Data Protection sono i controlli di secondo livello.

Mentre i controlli di primo livello sono i controlli demandati ai referenti di Protezione dei dati personali.

Analisi di un sistema di controllo tipo

Proviamo ad analizzare un esempio di sistema di controllo per capire nella pratica come si struttura, chi coinvolge e in cosa consiste.

Il sistema di controllo come si svolge?

• Elabora un piano almeno annuale di controlli in materia di protezione dei dati personali;
• Esegue controlli pianificati con riferimento alle aree e i processi aziendali più rilevanti in materia di protezione dei dati.
  

Le attività si classificano in funzione della tipologia dei destinatari:

• Sistema di controllo su strutture, comitati e ruolo di indirizzo e governo della data protection sono controlli trasversali;
• Sistema di controllo su strutture, comitati e ruoli di esecuzione della data protection rappresentano i controlli verticali.
  

Le attività di controllo approfondiscono tutti i principali ambiti del GDPR.

Possiamo suddividere tutte queste attività in modello organizzativo, modello operativo e modello architetturale.

Modello organizzativo

 Il modello organizzativo fa controlli in maniera trasversale in ambito di organizzazione, ruoli, persone, cultura e competenze.

Ecco la lista degli obiettivi di questo modello:
‍

• Controllare le strutture, i comitati e i ruoli deputati all’indirizzo, al governo, all’esecuzione e al controllo del modello;
• Definisce chi ricopre un ruolo attivo, nomina e stabilisce i requisiti del DPO. In assenza del DPO stabilisce il contratto con le aziende terze che ricoprono questo ruolo o con le risorse che ricoprono il ruolo di esecutori del modello;
• Mappa il livello di competenza delle persone sia per ruoli specifici, sia dei soggetti autorizzati al trattamento;
• Crea e definisce le iniziative per informare i soggetti autorizzati al trattamento e per formare e sensibilizzare i ruoli specifici.

‍

‍

Modello operativo

Si tratta del modello più articolato che racchiude controlli trasversali e verticali:

• Stabilisce, gestisce e classifica i diritti degli interessati al trattamento (come il diritto di rettifica,  accesso, cancellazione, limitazione, portabilità, opposizione);
• In ambito di privacy by design e by default stabilisce le iniziative e la procedura e traccia le iniziative della specifica funzione e divisione per analizzare la conformità e stabilire la valutazione dei rischi, eventualmente predisporre e implementare un piano di interventi e misure tecniche e organizzative da impostare in maniera predefinita;
• Classifica, allinea, definisce la procedura e gli strumenti per la tenuta dell’elenco dei registri dei trattamenti (il registro del titolare, del responsabile) e definisce l’attività di trattamento per la specifica funzione e/o divisione;
• In caso di violazione dei dati personali, tiene il registro delle violazioni, definisce la procedura e gli strumenti, segnala, valuta e comunica agli interessati e notifica all’autorità di controllo il data breach;
• Verifica la necessità ed eventualmente svolge la DPIA e la consultazione preventiva che poi archivia nel registro.

‍

Modello architetturale

Il modello architetturale consente:

• La classificazione dei dati personali in categorie e sub-categorie di dati comuni, categorie particolari, dati soggetti a portabilità o a condanne penali;
• La classificazione degli interessati al trattamento, anche minorenni;
• Il controllo dei periodi di conservazione e l’elenco degli applicativi e delle infrastrutture fisiche e logiche presso le quali risiedono i dati;
• Riguardo i rischi definisce la procedura, la metodologia e gli strumenti, stabilisce il livello di rischio associato;
• Riguardo le misure tecniche e organizzative adeguate, consente la cifratura dei dati e controlla che sia garantita la sicurezza, l’integrità, la disponibilità e la resilienza dei sistemi e servizi, oltre alla possibilità di ripristino tempestivo;

Testa, verifica e valuta l’efficacia di queste misure di sicurezza.

‍