Le aziende tendono a sopravvalutare il loro livello di compliance ai dettami del Gdpr, rischiando così situazioni di imbarazzo nel corso di un eventuale controllo da parte delle Autorità preposte.
Lo dico per esperienza diretta come DPO nel corso di queste ispezioni, che diventano più approfondite ora che – da maggio – è finito il periodo transitorio di applicazione.
Esperienza che mi permette di evidenziare e di condividere di seguito, numerosi aspetti interessanti.
Le attività ispettive in corso
Forse non tutti sanno che i controlli sono effettivamente in corso: il programma ispettivo dell’Autorità Garante prevede 100 ispezioni distribuite fra aprile e fine giugno. Programma che il Garante, in virtù dell’accordo con la Guardia di Finanza, sta portando avanti in maniera puntuale con attività ispettive svolte da personale preparato specificamente. I settori individuati dal Garante per le prime attività riguardano indubbiamente grandi realtà: il settore bancario, quello sanitario e le società che fanno uso di programmi loyalty tramite lo strumento ormai diffusissimo della fidelity card.
La poca risonanza di queste prime ispezioni, probabilmente dovuta ad una certa ritrosia nel voler dare pubblico rilievo di aver sostenuto un tale controllo, ha lasciato fino ad ora molte aziende nella convinzione di poter disporre di ulteriore tempo per raggiungere l’agognata compliance.
Per ben comprendere le difficoltà che si possono incontrare durante una verifica ispettiva è utile partire da un presupposto certamente condivisibile: anche nei casi di maggior diligenza è bene aver sempre un approccio critico e migliorativo rispetto al lavoro effettuato e non ritenere mai definitivo l’assetto documentale e procedurale implementato. E’ abbastanza frequente pensare di aver la situazione sotto controllo, e d’un tratto trovarsi in imbarazzo durante un controllo, complice anche la tensione di certe situazioni.
Il ruolo centrale del DPO
L’accesso in azienda, che avviene solitamente nella prima parte della mattinata, trova sulla sua strada il personale della reception. Ecco che qui avviene il primo contatto e si ha la prima impressione (e di solito è quella che lascia il segno) di come e quanto il GDPR è percepito in azienda. E’ importante che il personale designato risponda prontamente alle prime richieste degli ispettori, solitamente riguardanti la persona designata in azienda per le tematiche privacy e l’eventuale DPO.
Ai lavori partecipa, direttamente o per delega il titolare del trattamento, i privacy manager interni ove presenti, il consulente privacy ed ovviamente il DPO se nominato. A tal proposito dalle indicazioni ricevute in numerosi convegni, ove erano presenti esponenti della Guardia di Finanza ed in sede di ispezioni, si conferma quanto previsto: il DPO deve essere altamente reperibile ed in caso di ispezione deve attivarsi immediatamente per raggiungere il luogo dei lavori. Dovrà quindi trattenersi fino al termine delle attività di ispezione previste che solitamente non durano meno di tre o quattro giorni. Il DPO è a tutti gli effetti il punto di contatto fra i soggetti ispettori e l’azienda e deve indiscutibilmente conoscere in modo profondo e dettagliato le tipologie di trattamento in essere, rendere conto dell’attività di compilazione del registro (in qualità di supervisore, non di mera compilazione).
Le considerazioni precedenti non esonerano gli altri soggetti intervenuti dal dover dare indicazioni circa le attività in cui sono coinvolti, dando evidenza della loro formazione e preparazione. L’importanza della figura del DPO emerge anche dall’attenzione dedicata, in sede ispettiva, alla scelta e valutazione del medesimo da parte dell’azienda. Quest’ultima dovrà dimostrare di aver effettuato tale nomina in virtù di una delibera ove si evince chiaramente il profilo tecnico-professionale del candidato scelto. Solo a quel punto potrà formalizzare l’incarico al soggetto scelto.
Accountability
Quest’ultimo aspetto evidenzia senza mezzi termini il parametro di valutazione più importante dell’ispezione, un termine che risuona con frequenza decisamente stretta: accountability. Tutto sembra effettivamente ruotare intorno alle valutazioni, ai ragionamenti, alle determinazioni raggiunte in base all’analisi del contesto e degli attori coinvolti. L’azienda dovrà in ogni momento dimostrare come è arrivata a determinate conclusioni. La strada è decisamente più interessante del traguardo raggiunto. La dimostrazione di aver compiuto un percorso, anche articolato su più stazioni, rende ai convenuti ispettori l’immagine di un’azienda diligente e responsabile che ha attenzione costante alla tutela dei dati e non puntuale.
Il tempo speso in azienda per la valutazione di questi aspetti deve essere accompagnato da verbali e documenti valutativi dettagliati. La stessa decisione di non nominare un DPO, ovviamente scritta, deve riportare in modo netto le ragioni che hanno portato l’azienda a tale scelta, anche in funzione delle indicazioni del Regolamento stesso.
Questo approccio di verifica trova immediata applicazione sulle tematiche marketing, profilazione ed in generale su tutti gli aspetti ove ci sia trattamento nei confronti dell’interessato. Grande attenzione viene posta all’analisi delle informative, la modalità di somministrazione, la procedura esistente per dimostrare con certezza la disponibilità del consenso, la chiarezza nell’informare l’interessato circa la possibilità di esercitare i suoi diritti.
Ove il trattamento sia in parte o completamente delegato ad altro soggetto, vengono verificate le nomine ex art.28 con gli stessi criteri emersi in precedenza: deve emergere accountability dalla valutazione del fornitore, dalla attività di vigilanza sul medesimo, accertandosi che il Responsabile abbia predisposto tutte le misure necessarie per la tutela dei dati degli interessati.
Valutazione del rischio e registro dei trattamenti
Di assoluta importanza anche la valutazione di rischio, ed eventualmente di impatto ove sia ravvisato un rischio alto nel trattamento o se il Responsabile a cui abbiamo affidato i dati rientri in quella categoria di colossi ed attori del big data mondiale che non firmerà mai una nomina: l’azienda ha valutato quale sarebbe l’effetto di una perdita di controllo delle informazioni in mano al responsabile?
Le ispezioni proseguono con una disamina del registro dei trattamenti, dando anche in questo caso particolare rilievo alle considerazioni ed alle determinazioni che hanno portato alla compilazione del medesimo, sia in qualità di titolare che eventualmente di responsabile. Il registro viene acquisito dai soggetti ispettori insieme al resto della documentazione per l’invio all’autorità Garante.
E’ bene ricordare al riguardo che la valutazione della compliance, spetta all’autorità garante che si riserva 90 giorni di tempo per deliberare una volta ottenuti gli atti dell’ispezione da parte della Guardia di Finanza. L’azienda può eventualmente decidere di integrare la documentazione prodotta agli ispettori entro un breve lasso di tempo.
Le scelte delle aziende, documentate
Difficile riassumere tutti gli aspetti singolarmente emersi in un contesto ispettivo, ove partecipano numerose figure. Sicuramente un aspetto importante e spesso sottovalutato in fase di consulenza, riguarda le misure tecniche ed organizzative previste dall’Art.32 del Regolamento. Anche in questo caso le valutazioni emerse dalla documentazione prodotta sono di grande aiuto per avvalorare le scelte dell’azienda. In particolare i riferimenti sono ad esempio all’eventuale crittazione dei dati, la pseudonimizzazione, alla capacità di garantire la riservatezza, la disponibilità dei medesimi, non ultima la capacità di gestire un evento imprevisto (doloso o involontario) tramite la tecnologia disponibile ma anche tramite dei processi collaudati e testati periodicamente. Particolarmente importanti in questo contesto i documenti che descrivono i processi di backup dei dati e loro modalità di custodia, i rispettivi test di recupero al fine di verificare la bontà dei backup stessi e le procedure finalizzate al monitoraggio attivo dell’infrastruttura dati dell’azienda. In questo contesto emerge spesso la verifica sulla formazione del personale (tecnico in questo caso), che deve essere validata tramite documenti di presenza e se possibile, test di valutazione.
Il cambio di approccio rispetto al Codice Privacy, imponendo soluzioni e misure “adeguate al contesto” in cui l’azienda opera, ha sicuramente lo scopo di mantenere alta l’attenzione sulle misure intraprese e di prevedere una periodica revisione delle medesime in virtù dell’evoluzione della tecnologia disponibile e delle minacce. In altre parole, guarda caso, accountability.
