“Buongiorno. Sono il vostro DPO”. Nella prima puntata di questo percorso, che intende accompagnare i Data Protection Officer nell’avvio e nella gestione del loro incarico, abbiamo esaminato alcuni passi preliminari necessari: definizione del contratto, costituzione del team e soprattutto un kickoff ben organizzato e tenuto.
Supponiamo quindi che ora il servizio possa muovere i suoi primi passi, entrando a regime come una qualsiasi attività di routine. In verità il primo step, che avrete previsto nel contratto e annunciato nel kickoff, è costituito dalla presa in carico della situazione as-is. Questo passaggio è fondamentale sia per i DPO interni – eventualmente già presenti in azienda e che abbiano preso parte ai progetti di adeguamento GDPR, magari nell’ambito di un precedente ruolo di Compliance Manager, oppure inseriti ex-novo in azienda -, che per i DPO esternalizzati, che si trovano a gestire una situazione ricevuta in eredità dai team di progetto (del cliente e/o delle società di consulenza incaricate del progetto).
Who's Who
Paolo Calvi
Ovviamente si tratta di una fase di assessment ben diversa da quella condotta all’inizio dei progetti GDPR, nella quale si doveva verificare il grado di compliance precedente al progetto stesso, che si rivelava necessariamente scarso soprattutto per quegli istituti introdotti dal GDPR come novità (es. accountability, data breach, dpia, ecc. nonché la figura del DPO). Stavolta si suppone che il percorso di adeguamento abbia già condotto l’azienda a dotarsi delle misure tecniche e organizzative adeguate, quindi il livello di maturità in ambito Data Protection dovrebbe risultare sostanzialmente adeguato.
Primo passo: costruire una baseline per misurare gli aggiornamenti e analizzare i Registri
Bene. Se così fosse, avremo gli elementi per costituire una baseline, sulla quale misurare i successivi aggiornamenti che si rendessero necessari. A volte però l’assessment può rivelare qualche sorpresa che vale la pena di mettere in conto. Ad esempio, dell’ABC della Privacy, io amo dire che il Registro dei trattamenti è proprio la “A”, ovvero l’elemento di base sul quale poggiano tutti i ragionamenti e le azioni conseguenti: analisi dei rischi e misure da adottare, informative e consensi, nomine dei Responsabili esterni ecc. Questo è il motivo per cui ne abbiamo sempre consigliato la redazione anche a eventuali clienti che non ricadessero nel criterio di obbligatorietà (>250 dipendenti). Partiamo allora dall’analisi dei Registri, ricordandoci che dovremo trovarne uno per ogni legal entity (nel caso di gruppi imprenditoriali, magari internazionali). Per quelle aziende che operano trattamento di dati personali per conto terzi, sia come fornitore, sia nel ruolo di capogruppo (o società di servizio alle consociate) nell’ambito dei gruppi, sarà importante verificare, accanto al Registro del Titolare, anche l’esistenza del Registro del Responsabile.
Fin qui sembra facile: il progetto GDPR si è appena concluso, e volete che i Registri non ci siano?! In verità potreste scoprire che non è così semplice. Primo problema: i Registri ci sono, ma dove sono…? Non sto scherzando. Di recente durante un assessment presso un cliente abbiamo chiesto i Registri HR, per scoprire che la funzione Risorse Umane ne deteneva una copia (obsoleta), regolarmente depositata nella cartella di progetto su server condiviso, mentre la funzione Compliance disponeva della versione aggiornata, gelosamente conservata in locale sul proprio client… Ve lo immaginate se una scenetta come questa si fosse verificata davanti alla Guardia di F inanzainviata per un’ispezione? Il nostro amico del Nucleo Speciale Privacy si sarebbe leggermente innervosito e l’ispezione non sarebbe cominciata sotto i migliori auspici…
Non stupitevi se troverete situazioni analoghe anche in aziende mediamente mature, che hanno affrontato con impegno e consapevolezza l’impegno dell’adeguamento. Ve lo ricordate quando, durante le interviste per la compilazione dei registri, vi prodigavate in raccomandazioni del tipo “i registri non sono un documento scolpito nella pietra, da chiudere in un cassetto e dimenticare”? Ecco, eravate coscienti di questo pericolo, che si è regolarmente verificato. Nessun problema. L’assessment di cui stiamo parlando serve anche a questo: prima della verifica puntuale della correttezza della documentazione (e magari del suo aggiornamento) serve a confermare alle risorse coinvolte che quelli del progetto GDPR dicevano sul serio quando affermavano che la gestione della Data Protection sarebbe stato un processo che non terminava con la conclusione del percorso di adeguamento, anzi prendeva l’avvio proprio da lì. Molti vostri interlocutori non ameranno sentirselo ricordare, ma se non cogliete l’occasione di queste fasi iniziali per riattivare i neuroni aziendali sul tema Privacy, poi farete più fatica.
Ovviamente la consapevolezza sarà trasmessa e rinfrescata anche e soprattutto negli ambiti di Informazione e Formazione, altri due pillar su cui si regge il servizio DPO, ma la presa in carico (e successivamente anche gli audit, come vedremo) svolgono egregiamente anche questa funzione di presa di coscienza. Che, in termini di accountability, conta molto più di tanti documenti messi ad ammuffire.
Verifiche documentazione: non solo adeguamento alla normativa, ma aderenza alla realtà aziendale e coerenza interna
Non sto poi qui a farvi la checklist delle verifiche da fare sulla documentazione, si tratta in sostanza di prenderla in mano tutta e controllare non solo l’adeguatezza alla normativa ma anche:
- l’aderenza alla realtà aziendale (soprattutto per i modelli organizzativi e i registri);
- la coerenza interna fra le diverse famiglie di documenti: i registri parlano con le informative, in termini ad esempio di finalità, basi giuridiche, tempi di conservazione, destinatari di comunicazione dei dati ecc.? Le nomine dei Responsabili esterni sono coerenti con l’elenco dei fornitori, i contratti e i registri stessi? Ruoli e competenze definiti nel modello organizzativo si riflettono nelle diverse procedure? La mappa applicativa sulla quale è basata l’analisi dei rischi è referienzata nei registri?
Alla conclusione di questa doverosa presa in carico avrete così definito la base documentale (e di consapevolezza, come abbiamo visto) sulla quale articolare le successive fasi di gestione. Ma, come potete facilmente immaginare, se non configurate da subito dei meccanismi di monitoraggio, la fotografia iniziale ingiallirà inesorabilmente in tempi brevi. Non sarà sufficiente infatti attendere gli audit, che per quanto ricorrenti saranno sempre necessariamente settoriali, per accorgersi che “something’s happening but you don’t know what it is – do you, Mr. Jones?”. Per prevenire l’invecchiamento precoce dell’immagine iniziale è quindi necessario mettere in atto opportuni “flussi informativi”, sul modello di quelli attivati dagli Organismi di Vigilanza e Controllo (in ambito 231). È infatti impensabile che il DPO stia sulla torre a guardare l’azienda dall’alto, sperando di cogliere il cambiamento da lontano: deve fare invece in modo di essere informato direttamente e tempestivamente sui cambiamenti organizzativi (nuovi ruoli o anche solo nuove persone nei ruoli esistenti), di business (nuove iniziative imprenditoriali oppure nuove modalità per svolgere i business esistenti), di strumenti (nuove applicazioni o infrastrutture) o di fornitori ecc., tutti elementi che potrebbero rendere necessario un aggiornamento dei registri, dell’analisi dei rischi o di altra documentazione, lo svolgimento di una DPIA.
Come vedete la presa in carico è tutt’altro che banale e costituisce un tassello fondamentale per garantire l’efficacia del servizio che vi è stato affidato. Buon lavoro, vi aspetto al prossimo appuntamento.
