La compliance (o conformità) al GDPR è un percorso di miglioramento continuo, che tiene conto di eventuali elementi di novità che emergono all’interno di uno specifico contesto.
Com’è ovvio, l’aggiornamento della compliance alla normativa richiede un notevole sforzo da parte di qualsiasi organizzazione, sia pubblica che privata.
Tuttavia questo processo rappresenta l’unico fattore in grado di assicurare il mantenimento dei più elevati standard di sicurezza in termini di tutela dei dati.
La compliance GDPR come processo “work in progress”
Chi è responsabile della conformità alla normativa sulla privacy – in azienda così come in un ente pubblico come la scuola – è in genere consapevole del fatto che non ci si può fermare una volta compiuti i primi passi.
La compliance, infatti, non è un processo che può concludersi in maniera rapida e sbrigativa, ma va portato avanti con continuità nel corso del tempo.
In genere si è spinti a pensare che un’eventuale revisione dell’impostazione adottata a fronte della normativa privacy derivi di fatto da variazioni della stessa.
Sebbene questo rappresenti un fattore da tenere in considerazione, tuttavia non è il solo.
Il GDPR è stato pubblicato nel 2016 e da allora non ha subito alcuna modifica: il regolamento lascia tuttavia ampio spazio alla “convivenza” con le normative nazionali, sia preesistenti che successive, purché compatibili.
In Italia, ad esempio, chi prevedeva che il Codice Privacy sarebbe stato abolito ha dovuto inevitabilmente rivalutare la propria posizione, prendendo atto della nuova versione dello stesso, introdotta nel 2018 dal DL.101.
Allo stesso modo, ad oggi restano efficaci i provvedimenti del Garante della privacy, così come le relative modifiche sopraggiunte successivamente, che andranno a coesistere con quelle future.
Anche a livello europeo, attorno al GDPR sono state approvate – o sono tutt’ora in corso di approvazione – ulteriori normative destinate ad affiancarsi al regolamento, di cui è necessario monitorare l’evoluzione.
Basti pensare a quello che con ogni probabilità sarà il Regolamento e-Privacy, così come alla recente proposta legata al Regolamento sull’Intelligenza Artificiale.
Appare dunque più che lampante che le normative legate al trattamento dei dati tendono ad evolversi, richiedendo modifiche e aggiustamenti circa le misure messe in atto dalle aziende, così come dagli enti pubblici come la scuola.
Compliance GDPR: quando deve essere aggiornata
Passando in rassegna quelli che in genere sono gli strumenti che caratterizzano l’impianto documentale e operativo che deve essere adottato da aziende ed enti pubblici al fine di assicurare il corretto trattamento dei dati personali, ci si rende conto che ognuno di essi è passibile di revisione.
Ciò a causa dell’evoluzione delle attività svolte di norma in tali contesti.
Primo fra tutti è senza dubbio il registro delle attività di trattamento, che definisce le modalità di gestione dei dati personali, le finalità e gli strumenti con i quali i dati vengono trattati, le categorie di soggetti interessati, i soggetti terzi ai quali i dati vengono trasmessi, la figura del responsabile interno del trattamento, e ulteriori informazioni utilizzate al fine di individuare il livello di rischio che ogni gestione di dati comporta e le relative misure di sicurezza adottate.
Qualora non vengano attivate specifiche azioni di monitoraggio, volte a rilevare eventuali variazioni, tale “quadro” rischia di perdere efficacia, pregiudicando inevitabilmente la sicurezza dei dati personali e la tutela dei soggetti a cui gli stessi appartengono.
Viene da se che il registro delle attività di trattamento deve essere prontamente aggiornato in funzione delle nuove iniziative introdotte in azienda o in un ente pubblico, dopo averne individuato le caratteristiche.
Questo poiché tali attività comportano inevitabilmente nuovi trattamenti di dati: basti pensare alla creazione di una semplice newsletter, alla messa online di un nuovo sito web, o di un’app dedicata ai servizi proposti.
Non possono essere trascurate nemmeno eventuali variazioni introdotte sui trattamenti esistenti.
Una esternalizzazione o internalizzazione di un processo, il ricorso a un nuovo fornitore, o banalmente il passaggio da una piattaforma on-premise ad una in cloud richiedono un aggiornamento della compliance GDPR, così come l’integrazione di nuove categorie di dati personali o di nuove tipologie di soggetti interessati.
Tutte queste innovazioni richiedono non solo l’aggiornamento delle specifiche all’interno del registro delle attività di trattamento, ma allo stesso tempo anche delle informative per i soggetti coinvolti nel trattamento dei dati personali.
Ogni integrazione prevede altresì una nuova analisi dei rischi, poiché ogni “innovazione” introdotta può potenzialmente incrementare o diminuire il livello di rischio per i soggetti interessati, con conseguente revisione e adeguamento delle misure di sicurezza previste.
Compliance GDPR e principio di accountability
Il principio di accountability impone alle aziende, così come agli enti pubblici, una gestione del trattamento dei dati responsabile, che tenga in conto di quelli che possono essere i rischi connessi all’attività svolta, in modo tale che la stessa risulti atta a garantire la piena conformità del trattamento dei dati personali ai principi sanciti dal Regolamento Europeo e dalla legislazione nazionale.
Viene da sé che la necessità di promuovere e condurre un’attenta valutazione di eventuali elementi di novità che possono emergere dal contesto, o dall’interno dell’azienda o dell’ente pubblico, rappresenta un’azione imprescindibile al fine di poter adottare i più opportuni aggiornamenti.
È fondamentale dunque tenere traccia di tutte le novità individuate e classificate come significative per la “data protection”, così come delle decisioni prese a riguardo e dei relativi piani di attuazione.
Proprio in termini di accountability, sarà importante dimostrare e documentare le motivazioni che hanno indotto l’introduzione di eventuali novità, quali ad esempio la nomina di un DPO, così come lo stato di avanzamento relativo all’integrazione di misure tecniche o organizzative adeguate al cambiamento, per misurarne e conseguentemente documentarne l’efficacia una volta messe in atto.