“Buongiorno. Sono il vostro DPO”: fin qui tutto bene. Ormai i vostri interlocutori sono abituati a sentirvi pronunciare questa formula di saluto, siete già in carica da qualche mese, avete tenuto un kickoff e preso in carico la situazione .
“Sono qui per un audit”: PANICO! È molto probabile che questa sia la reazione il giorno in cui vi presenterete per svolgere una delle funzioni fondamentali del DPO: quella dei controlli. Forse sono abituati ai controlli svolti dai temutissimi Revisori di bilancio, oppure (se non operano in settori già avvezzi alla compliance ed ai relativi controlli, ad esempio su normative settoriali o sulla qualità) non sono mai stati auditati e vedono questa attività come una messa in discussione del loro operato. Ecco perché, prima di avviare la conduzione degli audit, sarà bene svolgere una missione preliminare di rassicurazione. Ma cominciamo dal principio.
Rivediamo quali sono le funzioni “obbligatorie” assegnate dal GDPR al DPO: informare e fornire consulenza, sorvegliare l’osservanza del regolamento e di altre disposizioni, fornire un parere in merito alla valutazione d’impatto, cooperare con l’autorità di controllo. Fra queste e le altre funzioni “aggiuntive” che il DPO può svolgere si tratta di trovare il giusto equilibrio: il Titolare tenderà infatti a privilegiare quelle di consulenza. Tutto bene, a due condizioni: che il DPO non si sostituisca al Titolare nella assunzione di responsabilità su scelte quali le misure di sicurezza da adottare, e che il tempo dedicato a consulenza, informazione e formazione non impedisca al DPO l’erogazione del servizio di controllo. Perché è quello che alcuni Titolari tenteranno di fare, ma bisogna scongiurare il verificarsi di questa situazione.
Controlli, dunque, ma con quale scopo? Almeno per il primo anno, l’obiettivo non può essere quello di dare pagelle alle persone ed alle funzioni coinvolte nel trattamento dei dati personali e nella loro protezione. Se il 2018 è stato l’anno dei progetti di adeguamento e probabilmente il 2020 sarà l’anno in cui le nuove procedure aziendali (figlie di quei progetti) entreranno pienamente a regime, il 2019 non può che essere un anno di transizione. Ovviamente non nel senso di un “periodo di grazia” in cui si possa omettere di rispettare pienamente il Regolamento (come hanno inutilmente auspicato in molti) ma come un tempo in cui deve essere portata a compimento la piena compenetrazione fra processi aziendali e processi privacy.
I controlli? Sono “audit di assessment” per misurare le evoluzioni succesive
Ma allora, cosa andiamo a controllare, se la transizione è ancora in corso e più che fotografare la realtà rischiamo di dover filmare una realtà in movimento? Sarà necessario adottare una prospettiva leggermente differente da quella di un normale audit su processi consolidati, non potendo verificare eventuali scostamenti dallo standard o miglioramenti rispetto alle non conformità riscontrate in precedenza.
Definirei questi controlli “audit di assessment” (i miei amici Auditor di professione non rabbrividiscano…) ovvero la verifica dello stato delle cose per definire una baseline sulla quale misurare successive evoluzioni. Il che NON significa ovviamente accettare eventuali scostamenti dalla compliance o rinunciare a segnalare le necessità di adeguamento: un audit si conclude comunque con un report che segnalerà ogni non conformità o suggerimento, proponendo un piano di remediation e scadenze per le diverse azioni richieste, che saranno successivamente oggetto di ulteriore verifica. Ma vedrete che la vera utilità di questo primo ciclo di controlli sarà un’altra: aiutare le funzioni aziendali a prendere coscienza di cosa veramente sono tenute a fare nella quotidianità per dare senso compiuto alle responsabilità loro assegnate dal modello aziendale di gestione della data protection.
Controlli verticali e specifici sui reparti in cui ci sono trattamenti dei dati rilevanti
Annunciate quindi l’avvio del piano di controlli spiegando ai responsabili delle funzioni auditate e alle persone direttamente coinvolte il senso che intendete dare a questo primo giro di controlli. Definite un piano dei controlli, possibilmente pluriennale, se la durata del vostro mandato lo consente (ma anche se il contratto fosse annuale). Inizialmente prevedete controlli trasversali sull’applicazione delle procedure, partendo da quelle che coprono aree di maggiore esposizione verso l’esterno (esercizio dei diritti degli interessati, gestione del data breach), passando poi a quelle che regolano processi maggiormente rivolti all’interno (by design, aggiornamento registri, dpia). Prevedete anche controlli verticali su reparti all’interno dei quali avvengono trattamenti più rilevanti, che saranno diversi per ogni settore merceologico: per la GDO, sicuramente il Marketing (carte fedeltà, profilazioni ecc.); per le manifatturiere B2B, probabilmente l’HR (dato il gran numero di interessati); per i fornitori di servizi, le misure di sicurezza adottate, utili per qualificarsi come fornitori (e Responsabili esterni del trattamento).
In questa, come in tutte le altre attività in capo al DPO, si rivelerà vincente la disponibilità di un team interdisciplinare, in grado di mettere in campo professionalità di advisory (che probabilmente avranno già maggiore dimestichezza con la disciplina dell’auditing) oltre che legal e security (competenti in ambiti specifici da sottoporre a controllo). Non mi dilungo sulla metodologia da adottare, che è già largamente nota alla maggior parte di voi. Segnalo solo l’opportunità di affidare lo svolgimento a strutture di Internal Audit, ove presenti, riservando al DPO il ruolo di contribuire a definire il piano dei controlli e di esaminare le risultanze del report di audit. Inoltre non andrebbe trascurata la possibilità di mettere a fattor comune i controlli specifici della Data Protection e quelli afferenti ad altre discipline o normative, nel caso in cui i requisiti d verificare siano largamente sovrapponibili, come spesso accade.
Per concludere, quanti controlli sono opportuni? Ovviamente dipende dalla complessità societaria (gruppi grandi e/o complessi), dalla rilevanza dei trattamenti di dati personali, nonché dalla capienza che ha la disponibilità del vostro ufficio (se DPO interno) o del vostro contratto (se esterno). Diciamo che anche in realtà piccole almeno 2-3 controlli all’anno sono indispensabili, per evitare che il ciclo completo su tutte le procedure e tutti i reparti rilevanti finisca per spalmarsi su un arco temporale troppo esteso.
Who's Who
Paolo Calvi
Data Protection Officer di P4I-Partners4Innovation