In questo periodo molte imprese italiane si stanno muovendo per avviare o gestire un progetto di adeguamento al nuovo Regolamento europeo sulla Privacy (Regolamento Generale sulla Protezione dei Dati – RGPD). Ma quante lo stanno facendo nel modo corretto? Quante stanno pianificando o hanno avviato un progetto strutturato che gli consentirà, entro il 25 maggio 2018, di avere la certezza che nulla sia stato omesso o tralasciato?
Le azioni preliminari
Prima di partire in qualunque direzione, occorre che l’azienda rifletta, si ponga alcune domande fondamentali e faccia delle analisi preliminari del suo contesto aziendale raccogliendo tutte le informazioni riguardanti non solo sé stessa (come titolare di un trattamento principale) ma, se esistenti, eventuali società controllate/controllanti o collegate. È altamente probabile, infatti, che se l’azienda italiana è all’interno di un gruppo di imprese con casa madre all’estero, quest’ultima abbia già strutturato un progetto di adeguamento al RGPD e possa quindi fornire all’azienda italiana delle utili indicazioni su come muoversi. Viceversa, se la casa madre è l’azienda italiana, sarà questa a doversi preoccupare di organizzare un progetto di adeguamento per le sue controllate all’estero.
In ogni caso, l’azienda italiana dovrà muoversi in autonomia, quindi dovrà comunque raccogliere tutte le informazioni che la riguardano, partendo da quelle relative a quanto posto in essere sino ad oggi per adeguarsi alla legislazione attuale (principalmente il Codice Privacy ed i provvedimenti del Garante Privacy) e procedendo poi a raccogliere, più in generale, le informazioni relative a tutte le attività svolte. Tra gli altri, l’azienda deve analizzare i settori di business in cui opera, i Paesi in cui operano i vari titolari e responsabili del trattamento, i servizi di supporto, gli “oggetti” aziendali disponibili (es. organigramma, funzionigramma), le certificazioni ottenute, le principali categorie di dati trattati, gli eventuali trattamenti terziarizzati e conseguenti nomine.
Il tutto per arrivare ad avere un quadro completo che consenta di schematizzare (immagine che segue) e mappare: organizzazione e ruoli, persone, cultura e competenze, processi e regole, documentazione che abbia impatti sul trattamento dei dati, contratti con i fornitori che trattano dati, nomine a responsabili e incaricati del trattamento (questi ultimi possono tranquillamente sopravvivere nonostante il RGPD non li contempli, ciò è stato confermato anche dal Garante Privacy), processi e procedure di gestione dei sistemi informativi, tecnologie e strumenti per la gestione della sicurezza informatica, sistemi di controllo, sistemi di internal audit.
In questa fase è importante che l’azienda comprenda l’importanza ed il valore che hanno le informazioni che possiede (i dati personali), soprattutto se relativi ai propri clienti. Quindi l’azienda non deve tanto interrogarsi su “Quanto costa un progetto di adeguamento al RGPD?” ma “Quanto costa non adeguarsi al RGPD?” o “Quanto costa perdere delle informazioni e subire una violazione?”. Se un’azienda subisce una perdita di informazioni (dati) rilevanti, perde denaro, molto denaro, ciò è incontrovertibile. È sufficiente leggere alcuni report sulla tematica, come per esempio quello del Ponemon Institute, che possono iniziare a far comprendere la dimensione del problema.
Un progetto qualificato di adeguamento al RGPD dovrà quindi ricevere non solo un endorsement dal management ma coinvolgere la governance dell’impresa che possa assicurare le coperture economiche necessarie all’adeguamento da attuare immediatamente.
In ogni caso, a prescindere dalla scelta che l’azienda opererà, da un punto di vista generale, sarà opportuno procedere con un modello di progetto di adeguamento al RGPD che consenta di:
- assicurare un’applicazione coerente e omogenea delle norme a protezione del trattamento dei dati personali. In tal senso, è necessario svolgere una identificazione, comprensione e classificazione dei requisiti normativi indicati non solo dal RGPD, ma monitorando anche costantemente l’uscita di disposizioni e linee guida emanate dalle Autorità preposte (es. Linee guida del Gruppo ex art. 29);
- valutare le implicazioni che le nuove disposizioni determinano sui processi/sistemi già esistenti;
- stabilire quali sono le nuove disposizioni che presentano un maggiore impatto dal punto di vista delle azioni che le stesse devono intraprendere per adeguarsi al RGPD.
Effettuate tutte le opportune valutazioni preliminari sin ad ora illustrate, si può quindi iniziare ad agire concretamente per modificare i processi e le attività dell’azienda e portarli a conformità del RGPD, non dimenticandosi di adempiere comunque ai provvedimenti del Garante Privacy che resteranno in vigore anche dopo il 25 maggio 2018.
Registro dei trattamenti di dati personali
Il primo adempimento che è opportuno porre in essere è senza dubbio è l’adozione del Registro dei trattamenti di dati personali. È possibile definirlo come un “documento” ma solo se lo si intende nel senso ampio del termine, come mezzo/strumento che provi l’esistenza di qualcosa. Il Registro dei trattamenti ha dei contenuti obbligatori previsti specificamente dal RGPD ma ciò non toglie che possa che comprendere anche altre informazioni non obbligatorie, per garantire il perfetto allineamento con i principali «oggetti» aziendali (mappa dei processi, organigramma aziendale, portafoglio fornitori, mappa degli applicativi). Il CNIL (il garante francese) ha pubblicato per esempio un modello di Registro dei trattamenti che comprende anche molte informazioni non obbligatorie.
Tutte le informazioni raccolte per popolare il Registro dei trattamenti, torneranno utili per quando poi, in una fase successiva, andranno identificati e valutati i principali gap da colmare per essere compliant al RGPD. Ovvero per definire e redigere, alla luce dei gap evidenziati, un piano di adeguamento complessivo (action plan), nonché la implementazione ed il conseguente monitoraggio degli interventi previsti seguendo lo schema qui di seguito:
- definizione, formalizzazione e implementazione della struttura organizzativa della data protection, sia a livello di macro-struttura sia a livello di micro-struttura (ruoli e responsabilità);
- sensibilizzazione e formazione dei soggetti chiamati a ricoprire un ruolo attivo nell’ambito del modello di funzionamento della data protection, ma anche della popolazione aziendale indirettamente coinvolta nella protezione dei dati personali;
- definizione, formalizzazione e implementazione di processi e regole connessi alla protezione dei dati personali, sia in modo diretto (es. gestione dei diritti degli interessati) sia in modo indiretto (es. gestione misure di sicurezza tecnico-organizzative);
- stesura ex novo della documentazione o modifica della documentazione esistente (es. informative, moduli di consenso, clausole contrattuali) e avvio della relativa adozione, anche verso l’esterno;
- definizione e implementazione di un sistema di controlli interni per la protezione dei dati personali (es. sistema di deleghe), ivi compresa la realizzazione di internal audit volti a evidenziare eventuali non conformità. A valle dell’intero processo di adeguamento deve essere quindi effettuato un controllo periodico in merito alla corretta adozione del modello di funzionamento della data protection ed elaborazione di eventuali azioni correttive, con conseguente aggiornamento del modello stesso.
Le 9 fasi dell’adeguamento al GDPR
Alla luce di tutto quanto detto sinora, è possibile semplificare, schematizzare e suddividere, da un punto di vista pratico, un intero progetto di adeguamento al RGPD in 9 fasi:
- Fase 1 – Valutazione della compliance: raccolta di tutte le informazioni sull’organizzazione aziendale, analisi e valutazione della documentazione in uso;
- Fase 2 – Creazione del registro dei trattamenti: documento volto a tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili, e contenente, tra gli altri, le finalità del trattamento, una descrizione delle categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi terzi e una descrizione generale delle misure di sicurezza;
- Fase 3 – Stesura/Modifica della documentazione affinché risulti completa ed aggiornata secondo le prescrizioni della nuova normativa;
- Fase 4 – Individuazione dei ruoli e delle responsabilità dei soggetti che effettuano il trattamento;
- Fase 5 – Definizione delle politiche di sicurezza e valutazione dei rischi: valutazione e attuazione di tutte le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al RGPD. Questa fase è espressione, soprattutto, del principio di responsabilizzazione del titolare (accountability);
- Fase 6 – Processo di Data Breach: al fine di assicurarsi di aver adottato tutte le procedure idonee a scoprire eventuali violazioni, generare adeguata reportistica e indagarne le cause nonché gli effetti della violazione subita;
- Fase 7 – Valutazione d’impatto sulla protezione dei dati personali: al fine di assicurare trasparenza nelle operazioni di trattamento dei dati personali e adeguata protezione agli stessi, implica che il titolare effettui precise e adeguate valutazioni d’impatto privacy. Attraverso tale istituto è possibile, quindi, valutare gli aspetti relativi alla protezione dei dati, prima che questi vengano trattati;
- Fase 8 – Implementazione dei processi per l’esercizio dei diritti dell’interessato;
- Fase 9 – Individuazione e nomina di un Data Protection Officer (DPO): figura la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
Per dare un contributo concreto alle aziende italiane, l’Osservatorio Information Security & Privacy del Politecnico di Milano ha avviato un ciclo di webinar di approfondimento e di taglio pratico sui progetti di adeguamento al RGPD. Il percorso completo di webinar sull’adeguamento al RGPD, che si concluderà a ridosso della applicabilità del RGPD, comprende tutte le fasi che sono state precedentemente illustrate. Il programma completo e tutte le informazioni per iscriversi sono disponibili a questo link.