Purtroppo, una delle malpratiche diffuse a partire dal 2018 sono state molteplici promesse di un sistema di gestione degli adempimenti da GDPR con la fiabesca formula “ora e per sempre” creando così l’illusione della cosiddetta paper compliance: molte carte, poca effettività.
È bene chiarire che tale illusoria convinzione non può trovare alcuno spazio alla luce di un approccio basato sul rischio e del principio di responsabilizzazione. Un adeguamento meramente statico o documentale che escluda ogni attività di verifica, audit e/o riesame degli adempimenti è infatti da considerarsi come in violazione delle prescrizioni e ai principi del GDPR. Ad esempio, negli artt. 24, 28, 32 e 35 GDPR è evidenziata espressamente la necessità di sottoporre il sistema di gestione degli adempimenti in materia di protezione dei dati personali ad un riesame.
In tema di responsabilità del titolare del trattamento, le misure tecniche ed organizzative predisposte per garantire la conformità al GDPR devono essere “riesaminate e aggiornate qualora necessario” (art. 24.1 GDPR).
All’interno dell’accordo con il responsabile del trattamento, occorre che lo stesso sia vincolato a contribuire “alle attività di revisione del titolare” (art. 28.3 lett. h) GDPR).
Nell’analisi e predisposizione delle misure di sicurezza va necessariamente considerata anche “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” (art. 32.1 lett. d) GDPR).
Nello svolgimento della valutazione di impatto sulla protezione dei dati, inoltre, va contemplato un “riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento” (art. 35.11 GDPR).
I principali fattori di cui tenere conto, sempre seguendo una lettura analitica della norma, devono riguardare:
- il contesto, riferito all’organizzazione, ai dati e all’attività di trattamento;
- lo stato dell’arte, riferito agli standard disponibili (anche in relazione ai costi sostenibili);
- il rischio delle attività di trattamento, riferito all’impatto sulle persone fisiche;
e dunque sono gli indicatori essenziali da considerare per valutare la cadenza delle verifiche periodiche del sistema e le modalità di svolgimento delle stesse.
Transitando ora su un piano operativo: in che modo può essere svolta tale attività di mantenimento?
Lo strumento di controllo principale per un sistema di gestione è ovviamente l’audit, il cui esito può:
- rilevare le non conformità e di conseguenza consentire l’adozione di interventi correttivi;
- evidenziare le conformità e dunque essere utile per la dimostrabilità degli adempimenti;
- evidenziare spunti di miglioramento e consentire un’integrazione più agile del sistema di gestione degli adempimenti con il contesto organizzativo, ad esempio con l’introduzione di nuove procedure o l’ottimizzazione delle procedure esistenti.
La definizione del piano di audit, sia con riferimento alla cadenza dell’attività ispettiva che alle modalità di svolgimento e al relativo grado di approfondimento (interno o nei confronti dei responsabili del trattamento), è una scelta che viene totalmente rimessa alla valutazione del titolare del trattamento proprio in virtù del citato principio di responsabilizzazione.
