Cosa deve avere un software per GDPR per gestire la complessità
22 Maggio 2020 in Governance Risk & Compliance As a Service - GRC360
Perché serve usare un software per GDPR per gestire gli adempimenti richiesti dalla normativa? Le aziende, oggi, trattano un volume molto ampio di dati personali. Per questo motivo si devono preoccupare innanzitutto della loro protezione – soprattutto se si parla di milioni di dati – attenzionando le misure tecniche e organizzative messe in atto. Da quando è stato introdotto il Regolamento generale sulla protezione dei dati (GDPR) – che ha rimodulato la materia del trattamento dati personali – le stesse si sono dovute e continuano ad orientarsi nel mare magnum delle proposte software nate per facilitare la gestione degli adempimenti richiesti dalla normativa.
Le funzionalità indispensabili
La scelta di un software per GDPR deve privilegiare un mezzo che aiuti l’azienda a semplificare la gestione delle misure tecniche e organizzative messe in atto. La scelta del software più adatto alle esigenze del cliente, in un campo così delicato e complesso, non è facile e deve avere determinate caratteristiche.
Sicuramente il software deve saper dare una visione a 360° di tutti gli adempimenti che devono essere gestiti per garantire la conformità alla normativa (es. registro dei trattamenti, valutazione d’impatto, violazioni di dati personali), conferendogli un ordine logico che consenta di considerare le varie interdipendenze, fornendo a tutti gli effetti un “flusso” degli adempimenti.
Il software deve consentire di impostare differenti profili di accesso in funzione di ruolo e responsabilità attribuiti ai singoli utenti, regolando l’accesso alle funzionalità disponibili e fornendo delle viste differenti. Solamente un numero molto limitato di persone, infatti, avrà l’accesso completo a tutte le funzionalità del software per GDPR.
Altra funzione – alquanto importante – che il software deve necessariamente avere è quella di assegnare attività e seguirle nella loro evoluzione, impostando notifiche, avvertimenti e scadenze. Essere in altre parole quell’ausilio che permette di governare centralmente ed in modo facile tutte le azioni, rappresentando un vero e proprio strumento di task management.
Il software deve poi mettere a disposizione una dashboard di controllo con indicatori di sintesi e rappresentazioni anche grafiche per dare evidenza, in pochi secondi, del livello di conformità dell’azienda o del gruppo.
Inoltre, il software dovrebbe dare la possibilità di conservare in modo ordinato e strutturato tutta la documentazione, nel rispetto del principio di “accountability”, la stessa che potrebbe essere richiesta durante un’eventuale ispezione dell’Autorità.
Le figure che traggono vantaggio dall’utilizzo del software
Le figure che possono trarre importanti benefici dall’utilizzo del software sono molteplici.
Il software può essere di grande aiuto per chi si occupa della governance della protezione dei dati personali. Figure come il Data Protection Manager (in alcune aziende “Privacy Manager/Officer” o “Referente Data Protection”) hanno la possibilità di indirizzare facilmente tutti i principali adempimenti in carico al Titolare, come ad esempio l’elaborazione del registro dei trattamenti, l’analisi dei rischi per gli interessati e la designazione del personale, ma anche la gestione di violazioni di dati personali e diritti degli interessati.
Tra i beneficiari del software, inoltre, vi possono essere anche i Soggetti Designati (in alcune aziende “Referenti del trattamento” o “Privacy Champion”), i quali possono gestire tutti gli adempimenti in carico alla propria Funzione/Divisione, ricorrendo al supporto del Privacy Manager solo in caso di necessità. Il Titolare (e il Privacy Manager), infatti, ha la possibilità di delocalizzare specifiche attività all’interno dell’organizzazione, come ad esempio il censimento di nuove iniziative e l’aggiornamento dei trattamenti.
Una figura da non sottovalutare, inoltre, è il DPO – Data Protection Officer – che ha tra i propri compiti quello di sorvegliare l’osservanza della normativa. Grazie all’ausilio del software, il DPO ha la possibilità di avere una overview dello stato degli adempimenti in azienda, verificando ad esempio l’esistenza di un registro aggiornato e che le informative siano corrette, ma anche che siano stati gestiti tempestivamente alcuni eventi (es. violazioni). Grazie alla soluzione, inoltre, il DPO ha la possibilità di essere tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali, ad esempio per fornire un parere in merito a una valutazione d’impatto sulla protezione dei dati personali.
Luca Galetti – Associate Partner at P4I – Partners4Innovation