Non basta il primo adeguamento. Con il passare del tempo è necessario intervenire con aggiornamenti per mantenersi conformi. al regolamento. Ecco un elenco tutti i passaggi da compiere per la revisione ed aggiornamento del Sistema di gestione privacy.

Responsabilità [per il GDPR "accountability"] è il principio cardine attorno a cui si sviluppa tutto il GDPR.

Non basta adeguarsi, ma bisogna mantenersi "compliant" [conformi] al regolamento anche con il passare del tempo.

Ecco un utile vademecum con tutti i passaggi da compiere per non sbagliare, in particolare nella revisione e aggiornamento del Sistema di gestione privacy.

 

Cosa dice il GDPR
 

Per responsabilizzazione il GDPR intende non solo l'obbligo di conformarsi ai singoli adempimenti ma, soprattutto, di adottare un vero e proprio sistema di gestione privacy, un abito su misura cucito su ogni azienda, che renda i propri trattamenti conformi alla normativa.
 

Per far si che la conformità sia effettiva, deve però aggiungersi un ulteriore e fondamentale dovere: quello di essere in grado di “darne conto”, ovvero di dimostrare l’adeguatezza delle misure di sicurezza impiegate, soprattutto attraverso un riesame e aggiornamento delle stesse.
 

Tutte le misure tecniche e organizzative che vengono messe in atto, dovranno comprendere “una procedura per testare, verificare e valutare regolarmente” [arl. 32 gdpr] l’efficacia delle sesse misure per poterne garantire la sicurezza del trattamento.

La compliance alla normativa sulla data protection, infatti, non si esaurisce con la prima implementazione delle attività di adeguamento, ma presuppone un processo dinamico, che richiede di non fermarsi alla mappatura dello status quo dell’azienda oggi conforme al GDPR, ma che impone di mantenere tale conformità attuale nel tempo. L’efficacia di una tale revisione non va data per scontata, ma richiede, anzi, di tenere in considerazione molteplici fattori, che possono essere raggruppati in categorie.
 

1. Evoluzioni normative
 

L'aggiornamento del sistema di gestione privacy e della relativa documentazione (informative, procedure, atti di nomina, etc.) è necessario in primo luogo quando vi sono novità normative o giurisprudenziali: nuove norme, linee guida, sentenze, ecc.
 

Ad esempio è quello che succederà per il Regolamento e-Privacy che sostituirà la direttiva 2002/58/CE. Oppure come già avvenuto con le modifiche determinate dal D. Lgs. 101/2018 in relazione al Codice della Privacy. Oppure ancora quando intervengono sentenze, pronunce dei tribunali oppure di provvedimenti del Garante.
 

Ogni singola azienda dovrà, di conseguenza, verificare quale sarà l'impatto sulle sue attività di trattamento.
 

2. Cambiamenti interni all’azienda
 

Quotidianamente nelle aziende possono essere prese delle decisioni che impattano sul trattamento di dati personali: dal cambio di modalità di gestione delle risorse umane all’adozione di nuove strategie di marketing, dall’inserimento di un form nel proprio sito web alla sostituzione di un fornitore, fino all’innovazione dei propri modelli di business.

Ad esempio la sostituzione o i nuovi inserimenti di personale. In questi casi esiste l'obbligo di garantire che tutti coloro che trattano dati in azienda sotto l’autorità del titolare siano adeguatamente formati per farlo ai sensi dell’art. 29 del GDPR.
 

Altri esempi possono riguardare la sostituzione dei PC o l'introduzione di nuovi software, la istallazione di un sistema di videosorveglianza, l'adozione di sistemi di controllo degli accessi [timbra cartellini, autenticazioni con impronta, ecc]  

Sono rilevanti e determinano la necessità di revisione anche lo spostamento di archivi cartacei da un contenitore, da una stanza, o da un edificio a un altro, ad esempio per quanto riguarda l’affidabilità delle misure fisiche di protezione approntate.
 

Quando sono necessari interventi correttivi?
 

Testare, verificare e valutare l’efficacia delle misure tecniche e organizzative è tanto più importante quando emergono segnali evidenti che il sistema di gestione dei dati adottato in azienda non è sufficientemente idoneo rispetto a quanto il Regolamento prescrive, e richiede degli opportuni aggiustamenti.

Un primo caso può essere quello in cui l’azienda subisca una violazione di dati o un incidente di sicurezza: sia che tale incidente ["data breach"] sia determinato da un errore umano, sia che dipenda da uno stumento informatico inadeguato, è necessario intervenire con degli interventi correttivi che, peraltro, il Garante richiede di indicare nella comunicazione di notifica della violazione da effettuare ai sensi dell’art. 33 del GDPR.
 

Così, ad esempio, può essere indicato acquistare un software privacy by design compliant per sostituire un programma informatico che non lo è e che ha causato l’incidente di sicurezza, ad esempio consentendo l’accesso da parte di tutte le risorse umane a dati che avrebbero dovuto essere trattati solo da alcuni dipendenti.
 

Dall’altro lato può essere appropriato ripetere la formazione del personale quando il data breach si è verificato perché uno o più dipendenti non hanno seguito le istruzioni operative precedentemente fornite dal titolare, ponendo in essere comportamenti che hanno causato violazioni di dati.

Ciò può riguardare l’ambito organizzativo, come nel caso in cui essi abbiano comunicato illegittimamente informazioni o abbiano omesso di chiudere a chiave un archivio o di far rispettare la distanza di cortesia.

Ma può riguardare anche l’uso degli strumenti informatici, che aprono l’azienda a delle vulnerabilità quando, ad esempio, il lavoratore installa erroneamente software malevoli nel sistema informatico aziendale.
 

I 7 passi per aggiornare il Sistema di gestione privacy

Come fare? Quali sono le attività da svolgere per la revisione e l’aggiornamento del Sistema di gestione privacy?

Quello che trovate di seguito è un elenco delle attività che dovrebbero essere comprese in una corretta procedura che riguardi il tuo Sistema di gestione privacy.
 

1. una preliminare mappatura delle modifiche intervenute a livello aziendale relativamente a: personale; modelli di business che coinvolgono i dati personali; procedure interne; strumenti e modalità di trattamento dei dati. Se l’analisi del flusso dei dati è il punto di partenza fondamentale in sede di predisposizione di un sistema di gestione privacy, lo è anche in sede di verifica di quanto deve essere adattato o variato. In questa fase, l’acquisizione delle informazioni può essere gestita procedendo ad interviste rivolte alla dirigenza o ai responsabili delle funzioni aziendali che trattano dati personali, anche mediante la somministrazione di checklist la cui compilazione può essere gestita da ciascuno di essi in autonomia e programmata in base alle proprie esigenze di lavoro. Infine, laddove i cambiamenti abbiano impattato in maniera significativa sui locali aziendali o sulle misure di sicurezza fisiche, potrà essere invece opportuno valutare lo svolgimento di un successivo audit direttamente presso l’azienda.
    
2. una analisi dell’impatto delle novità normative e giurisprudenziali in materia di data protection sulla realtà aziendale e sugli specifici trattamenti effettuati, e della conformità del Sistema di gestione privacy a tali aggiornamenti. Ad esempio, andrà esaminato l’impatto effettivo delle nuove Linee guida 3/2019 dell’EDPB (European Data Protection Board) in tema di videosorveglianza sulle aziende che hanno installato telecamere nelle loro strutture.
    
3. una verifica degli eventuali incidenti di sicurezza e violazioni di dati subiti dall’azienda, per la predisposizione di misure correttive. In particolare, la reiterazione di incidenti di sicurezza o data breach dello stesso tipo fa scaturire l’urgenza di revisionare le misure di sicurezza in essere, ed eventualmente sostituirle con misure parametrate al rischio effettivo che quel tipo di violazione possa nuovamente verificarsi.
    
4. una analisi – in caso di provvedimenti sanzionatori comminati all’azienda – delle eventuali richieste di informazioni rivolte dall’Autorità Garante all’azienda e un esame dei verbali di ispezione, per una revisione sostanziale dei trattamenti dalla cui effettuazione è scaturita la sanzione.
    
5. una verifica della correttezza del registro dei trattamenti e della documentazione di implementazione sulla base di quanto emerso ai punti precedenti. L’aggiornamento del registro è fondamentale affinché la visione d’insieme dei trattamenti effettuati permanga attuale e fornisca un punto fermo attorno a cui formulare le considerazioni giuridiche e tecniche e da cui far derivare gli interventi correttivi. Il registro puntualmente aggiornato è altresì il punto di partenza per procedere alla revisione dell’intera documentazione di adeguamento. La scelta, ad esempio, di ridurre il tempo di conservazione di una determinata categoria di dati a fini di marketing deve essere mappata nel registro e tale variazione deve essere indicata anche nell’informativa rivolta agli interessati.
    
6. una sessione formativa di aggiornamento. La revisione del Sistema di gestione privacy aziendale deve andare di pari passo con la relativa formazione del personale, che deve essere calibrata proprio sulle modifiche intervenute. In generale, in considerazione delle frequenti evoluzioni normative, e dei provvedimenti e linee guida in continua emissione che influsicono anche a livello interpretativo sui trattmenti di dati personali, è opportuno che la formazione dei soggetti che trattano dati personali venga ripetuta a intervalli regolari, sia con finalità di aggiornamento, sia per mantenere alta l’attenzione del personale sul rispetto delle prescrizioni.
    
7. La redazione di un report finale sul mantenimento dello stato di compliance al GDPR. La predisposizione da parte del DPO di una relazione che dia evidenza del grado di compliance raggiunto e/o mantenuto dall’azienda e, nello specifico, delle attività implememtate e delle non conformità da sanare si rivela uno strumento utile per fornire indicazioni anche strettamente operative al titolare e per consentire al DPO di adempiere ai propri obblighi di sorveglianza previsti dall’art. 39 del Regolamento.

​L'articolo proviene da Informatore Informatico