DPO e GDPR, perché ti serve un esperto
27 Settembre 2019 in Governance Risk & Compliance As a Service - GRC360
Nella tempesta del GDPR, il DPO (Data Protection Officer) è il faro per gli incaricati del trattamento. Ma come il faro dispone di una luce, cosa può fare il DPO per svolgere i suoi compiti e guidare le aziende sulla retta via della compliance? Ecco di seguito gli strumenti messi a disposizione dal GDPR per consentire al DPO di bacchettare e supportare il titolare e il responsabile del trattamento dei dati e salvare le aziende dalla mancanza di accountability.
GDPR, il DPO deve monitorare costantemente
La costanza è la caratteristica che più di ogni altra aiuta il DPO nello svolgimento delle sue funzioni. La protezione della privacy non è un compito che si estingue nel momento in cui viene compiuta una singola azione a tutela dei dati. Al contrario, richiede il continuo monitoraggio della situazione, per evitare che i rischi si concretizzino in pericoli e che eventuali vulnerabilità non vengano sanate in tempo. Per questo motivo, il DPO troverà utile condurre un monitoraggio costante sulle attività legate alla privacy che si svolgono in azienda. Il DPO ha dalla sua parte per attuare questi scopi strumenti come il piano dei controlli e gli audit, verifiche mirate per accertare che si stia facendo tutto secondo le regole. Secondo gli esperti andrebbero svolti almeno tre controlli all’anno, indipendentemente dalla grandezza dell’azienda.
Il DPO dovrà provvedere a controllare costantemente che le attività svolte dal titolare del trattamento siano in linea con quanto previsto dalla normativa, segnalando le criticità e le mancanze cui adempiere. È richiesta quindi grande attenzione, coinvolgimento in azienda e accesso agli strumenti di accountability. Lo stesso GDPR, all’articolo 38, prevede che il DPO sia coinvolto con tempestività e in modo adeguato in tutte le situazioni che riguardano la protezione dei dati personali.
Il GDPR vuole un DPO informato
Il DPO in qualità di esperto deve lavorare in sinergia con le altre figure adibite al trattamento dati, per garantire un approccio integrato alla materia e avere sempre la situazione sotto controllo: ovviamente, deve essere tempestivamente informato di ogni cosa e cambiamento. Per esempio, sebbene non rientri nei suoi compiti compilarli, il DPO dovrà conoscere i contenuti del registro delle attività e dell’informativa agli interessati, per valutare che includano tutte le informazioni previste dal GDPR e che siano redatti in modo perfettamente compliant al regolamento. Il registro in particolare è in continua evoluzione, rappresentazione concreta del continuo divenire delle attività di data protection, ed è rilevante in fase di audit. Il DPO dunque deve usare l’informazione come strumento per tenersi aggiornato.
GDPR, DPI e DPIA
Un’altra azione di monitoraggio per cui è richiesto l’aggiornamento del DPO è relativa alla DPIA, la valutazione d’impatto per particolari trattamenti di dati. In questo caso, il compito del DPO è quello di dare consulenza e sostegno al titolare qualora gli venisse richiesto, ma anche di controllare che la DPIA sia completa e non presenti lacune.
Un utile strumento per avere la garanzia di tenere tutto sotto controllo è quello dei “flussi informativi”: non è obbligatorio, ma facilita il compito di stare al passo con i cambiamenti e i trattamenti che si svolgono in azienda. Basta un questionario predefinito con domande mirate, che abbia una scadenza periodica e per il quale sia indicato un incaricato alla compilazione. Lo si può fare cartaceo, ma anche con uno strumento informatico dedicato che abbia questa funzione.
La formazione verso il GDPR e il DPO
Se non si conoscono le leggi, i rischi e le vulnerabilità, si può incappare in errori fatali per la protezione dei dati. Ecco perché il GDPR all’articolo 39 prevede come esplicito compito del DPO l’onere di informare non solo titolare e responsabile del trattamento, ma anche i dipendenti che si occupano di eseguire materialmente le azioni del trattamento. Il DPO dunque deve servirsi dello strumento della formazione del personale per spiegare e rendere a tutti fruibili le disposizioni del GDPR, affinché chiunque si occupi di trattare i dati degli interessati abbia la piena coscienza di cosa prevede la normativa e di quali sono i pericoli che si corrono in caso di errori.
A questo pro il DPO potrà organizzare corsi di formazione, tenere riunioni, preparare documenti scritti: la comunicazione è fondamentale per trasmettere le regole previste dal GDPR, partendo dal presupposto che un lavoratore ben informato sui divieti, sugli obblighi e sulle conseguenze userà la dovuta cautela nel gestire i dati altrui. Ecco dunque che la formazione diventa un’arma, uno strumento nelle mani del DPO per fare prevenzione contro leggerezze ed errori che possono condurre a pesanti sanzioni.
Paolo Calvi – Data Protection Officer