Prontuario del giorno: Le imprese ed il regolamento General Data Protection Regulation (GDPR). Come affrontare le ispezioni da parte del Garante della Privacy.
Proponiamo di seguito alcuni passi dell’articolo, “Ispezioni GDPR: come prepararsi in azienda”, pubblicato nel portale web italiano PMI.it (informazione ICT e Business rivolta alle Piccole e medie imprese) il 13 Settembre 2019.
L’articolo è un prontuario di avvertenze utili alle imprese per quanto concerne la normativa dell’Unione europea – in materia di trattamento dei dati personali – General Data Protection Regulation (GDPR). Il regolamento GDPR è in vigore dal 27 Aprile 2016.
“Dallo scorso maggio sono iniziati i controlli del Garante in materia di adeguamento al GDPR 679/2016 – Privacy.
Per dimostrare la propria accountability (impropriamente “responsabilità”, traduzione limitativo rispetto all’intenzione del Legislatore) e mantenerla nel tempo, il titolare del trattamento deve mettere in atto un programma di monitoraggio dei propri sistemi di protezione dei dati.
Il Segretario generale del Garante Privacy, Giuseppe Busia, nel corso del Privacy Day 2019 presso il CNR di Pisa, ha infatti ricordato che:
“Il GDPR non prevede un adempimento una tantum, ma una manutenzione continua in un cammino che si fa di giorno in giorno”.
È evidente che esiste una forte differenza tra adempimento formale e adempimento sostanziale. Una problematica riscontrabile nelle aziende è proprio la mancanza di verifiche sistematiche. Il rischio va prevenuto, non solo mitigato.
Gran parte dei problemi sono frutto di mancati controlli periodici, che possono invece essere attuati mediante normali audit.
L’audit è lo strumento più importante per valutare se i requisiti vengono applicati in modo coerente e con regolarità nell’ambito dei processi e se il sistema produce i risultati desiderati. I principi sui cui si deve basare una corretta attività di audit sono: integrità, imparzialità, professionalità, riservatezza, indipendenza e approccio basato sull’evidenza.
Adottare un piano di verifiche documentate e preventive del proprio sistema di data protection ha un’importanza fondamentale nel comprovare l’Accountability del Titolare del trattamento, nonché garantire la competitività sul mercato attraverso un adeguato livello di conformità al GDPR.
Le attività partono da un piano contenente obiettivi, criteri, metodologia, soggetti e settori aziendali coinvolti, presentato e condiviso prima con tutti per ricevere la massima collaborazione.
I risultati e l’esito devono essere classificati come: non conformità, osservazioni/opportunità di miglioramento, commenti/raccomandazioni. Per meglio predisporsi all’audit o alle ispezioni: avere un piano formativo adeguato per tutte le persone coinvolte nei vari trattamenti.
Effettuare una verifica di adeguatezza delle misure di sicurezza adottate. Se è prevista la presenza del Data Protection Officer (DPO) – la figura professionale che si occupa della conservazione dei dati personali e ne gestisce i rischi – questi dovrà essere molto preparato sia in termini di normativa sia in termini di procedure aziendali, sarà infatti lui ad essere convocato in prima battuta dal garante per dare le spiegazioni del caso.
Quindi: verificare che sia stata fatta e sia coerente una valutazione d’impatto.
Fonte:
Per saperne di più:
