Compliance e adeguamento al GDPR, cosa fare per essere in regola
20 Marzo 2021 in Governance Risk & Compliance As a Service - GRC360
Non per tutte le realtà aziendali assicurare la compliance al GDPR (Regolamento (UE) 2016/679 del parlamento europeo e del consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE “regolamento generale sulla protezione dei dati”) è facile allo stesso modo. I grandi gruppi industriali hanno i mezzi economici per adottare gli strumenti adeguati ed acquisire le competenze necessarie a garantire la compliance alla normativa europea. Per queste imprese, dover seguire il Regolamento europeo non rappresenta un trauma, perché l’impatto economico è mitigato dalla disponibilità di budget, sufficiente per ottenere strumenti informatici di livello e professionisti che apportino la giusta consapevolezza in azienda sul tema privacy. Lo stesso non si può dire per le PMI. A causa delle limitazioni di budget e le difficoltà operative con cui le piccole medie aziende si scontrano quotidianamente, le stesse sono portate a ritenere la data protection un noioso compito cui adempiere solo per evitare sanzioni. La figura del legal, dunque, si trova ad affrontare problemi diversi a seconda delle realtà in cui opera.
Aziende e compliance al GDPR: i dati
Tra grandi gruppi aziendali e PMI il divario in materia di compliance è rilevante. Secondo i dati dell’Osservatorio Information Security & Privacy del Politecnico di Milano, aggiornati al febbraio 2019, le grandi imprese coprono il 75% della spesa totale relativa a security e privacy dove la voce principale è quella dedicata ai piani per l’adeguamento al GDPR. D’altra parte, solo il 18% delle PMI è a un buon livello in questo percorso di adeguamento. Dal report emerge inoltre che il 23% delle aziende a febbraio 2019 aveva già provveduto a adeguarsi al regolamento europeo ed è risultata compliant.
In generale, il quadro è positivo ed emerge una maggiore consapevolezza sul tema privacy rispetto agli anni precedenti. Come precisano i dati del rapporto Clusit 2019, infatti, indicano anche che è diminuita la percentuale di aziende poco formate sul tema data protection, dal 15% del 2018 al 10% di quest’anno. Un dato da mettere in relazione con quelli riguardanti lo stanziamento di budget appositamente dedicato alle attività di adeguamento al GDPR.
Aumenta il budget per l’adeguamento al GDPR
Infatti, l’aumento di consapevolezza sull’argomento è direttamente proporzionale all’investimento per attuare la compliance normativa. L’Osservatorio del Politecnico spiega che l’88% delle aziende ha fondi dedicati a progetti di adeguamento al GDPR, mentre il 67% gode di un budget anche per mantenersi compliant nel tempo (quindi per svolgere attività come monitoraggio, audit, aggiornamento del registro dei trattamenti e così via). Inoltre, il 51% delle imprese ha riservato budget per la gestione degli incidenti di cyber security.
Adeguarsi al GDPR: le Criticità
Dal report dell’Osservatorio del Politecnico di Milano emerge che nell’adeguarsi al GDPR i principali problemi riscontrati dalle aziende, di qualsiasi dimensione, nell’adeguamento al GDPR, sono:
• Scarsa consapevolezza dei dipendenti dell’impresa sul tema data protection e, d’altra parte, poca sponsorizzazione da parte dei vertici manageriali;
• Raccolta e mappatura dei dati in modo adeguato alla normativa;
• Regole difficili da comprendere;
• Carenza di professionisti esperti del settore;
• Budget per la privacy scarso o inesistente;
• Adozione di soluzioni tecniche ed organizzative inefficaci.
In questo scenario, le PMI soffrono di più. Vediamo perché.
PMI e compliance GDPR, le difficoltà
Le aziende più piccole, infatti, sono strutturate dal punto di vista organizzativo per essere orientate ai costi, quindi l’ipotesi di dover investire e stanziare budget per la privacy viene vissuto come un onere difficile da sormontare, soprattutto in un possibile contesto di difficoltà economica. Inoltre, tra le PMI regna la confusione, perché il GDPR non indica con precisione cosa fare in concreto per rendersi compliant, ma spiega quali procedure adottare per non correre rischi in materia di data protection. La normativa quindi viene avvertita come complessa, poco chiara e molte aziende hanno l’impressione di non avere completo controllo degli adempimenti.
Invece, le principali criticità nelle azioni concrete riscontrate tra le PMI alle prese con la compliance al GDPR sono:
• La scelta del DPO. I dubbi vertono: sull’obbligo o meno di designarlo, sui requisiti professionali che deve avere la figura individuata, con l’aggiunta della difficoltà del reperire un soggetto indipendente che non abbia conflitti di interesse;
• Compilare e aggiornare i registri del titolare e del responsabile, monitorando costantemente la situazione e indicando ogni trattamento svolto e ogni eventuale incidente;
• La formazione del personale.
È evidente quindi la necessità di dotarsi di professionisti seri e qualificati capaci di guidare le piccole realtà verso un maggiore livello di consapevolezza.
Adeguamento al GDPR per Enterprise
I grandi gruppi, invece, hanno meno difficoltà, perché nel tempo, crescendo, si sono abituati ad affrontare le sfide della normativa, non solo in ambito privacy, ma su diversi fronti. I grandi gruppi aziendali hanno maggiori risorse per far fronte all’adeguamento al GDPR. Tuttavia, anche in queste realtà si riscontrano difficoltà. In particolare, emerge la criticità di attuare l’accountability, per lo stesso discorso di confusione che permea la quotidianità delle PMI.
Il GDPR, infatti, non fornisce un elenco di adempimenti cui sottostare che garantiscano la piena compliance, ma dà delle indicazioni generiche lasciando piena libertà al Titolare del trattamento, che dovrà semplicemente provare di avere adottato tutte le misure adeguate a tutelare la Privacy in ossequio al principio di accountability (art. 5 paragrafo 2 del GDPR). Bisogna, dunque, individuare sistemi di valutazione di aderenza al modello e dotarsi di organizzazioni competenti, processi strutturati e competenze professionali idonee al compito.
Creare valore tramite il corretto trattamento dei dati personali
Come precedentemente anticipato, troppo spesso le PMI, rispetto alle grandi aziende ed ai grandi gruppi, sottovalutano l’importanza di un corretto modello di gestione e trattamento dei dati personali, guardando allo stesso come ad un costo non sostenibile e un aumento della burocrazia interna, piuttosto che pensare al processo di adeguamento privacy come ad un’utile occasione per ripensare processi e modalità operative obsoleti, eccessivi, inadatti al raggiungimento delle finalità aziendali.
L’applicazione dei principi propri della normativa europea sul trattamento dei dati personali, infatti, ove resi propri dall’azienda e integrati nell’intero processo operativo aziendale, potrebbero aiutare la stessa, indipendentemente dalle dimensioni, a ripensare le proprie modalità operative secondo nuove logiche di essenzialità ed efficacia, evitando di compiere azioni “non necessarie” nel processo di gestione dei propri clienti (allo stesso modo in cui si evita di trattare dati ultronei a quelli necessari per la persecuzione delle finalità predeterminate).
L’importanza dei sistemi di sicurezza dei dati personali
Allo stesso modo, è di fondamentale importanza dotarsi di adeguate misure di sicurezza dei dati personali e dei sistemi aziendali, al fine di garantire la piena compliance alla normativa privacy e, al contempo, la piena funzionalità dell’azienda.
Le misure di sicurezza possono essere di tre tipologie:
- Tecniche, legate alla resilienza dei sistemi ed alla resistenza a potenziali attacchi dolosi che possano ledere l’integrità, la disponibilità e la riservatezza dei dati. Le principali misure di sicurezza tecniche sono: la gestione delle autorizzazioni, la cifratura, il tracciamento degli accessi ai sistemi IT o alle zone riservate;
- Organizzative, ossia inerenti al rapporto fra il Titolare e gli autorizzati al trattamento, così come al rapporto fra il titolare e il responsabile del trattamento, debitamente individuato ai sensi dell’art. 28 GDPR.
- Tra le principali misure di sicurezza organizzative: la formazione del personale, l’adesione a codici di condotta o certificazioni, lo svolgimento di audit interni periodici.
L’interessato e il diritto alla privacy secondo la normativa GDPR
Ulteriore profilo cui occorre tener conto nella fase di adeguamento alla normativa privacy e nella successiva fase di implementazione del modello di gestione dei dati è, ai sensi del combinato disposto degli artt. 12 – 22 del GDPR, il rapporto con l’interessato.
A quest’ultimo, infatti, la normativa europea conferisce un “diritto alla privacy” pieno e ampiamente tutelabile, sotto due aspetti:
- Il diritto a ricevere, in forma scritta o orale, in cartaceo o con altri mezzi elettronici, un’informazione sulle modalità e le finalità del trattamento dei propri dati “concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori”;
- Il diritto a esercitare i propri diritti (accesso, rettifica, cancellazione, ecc.) senza ingiustificati impedimenti: a tal fine si fa obbligo al titolare di fornire all’interessato tutte le informazioni necessarie ad agevolare le richieste provenienti da quest’ultimo, ottemperandovi senza ritardo.
La figura del “Responsabile privacy” in azienda
La traduzione italiana del GDPR ha contribuito a creare non poca confusione sulla figura del “responsabile privacy”. Tuttavia, è possibile identificare tre possibili “responsabili” all’interno dell’organigramma di gestione dei flussi di dati personali:
- In primis, il “Responsabile del trattamento” ex artt. 4-28 GDPR, ossia colui “che tratta dati personali per conto del titolare del trattamento”. In sintesi, si tratta di un soggetto che fornisce al titolare specifici servizi che comportano il trattamento di dati personali, sulla base delle indicazioni fornite da quest’ultimo;
- Il “Responsabile Privacy” inteso quale Privacy Manager: un soggetto interno all’azienda, dotato di competenze specifiche in materia di privacy, che si occupa di verificare e monitorare il rispetto della normativa, tramite l’ausilio anche di consulenti esterni;
- Il “Responsabile della Protezione dei dati personali”, conosciuto anche come RPD o DPO: tale figura, disciplinata dagli artt. 37 ss. GDPR, ha il compito di sorvegliare l’osservanza del GDPR e fornire consulenza al titolare, conservando la propria indipendenza.
La differenza fra compliance manager e compliance officer
Al fine di coadiuvare l’imprenditore nel complicato processo di adeguamento alle normative privacy (e non solo) sono nate, negli ultimi anni, le figure del compliance manager e del compliance officer.
A tali figure, una di alto livello e l’altra di medio livello, si demanda il compito di vigilare sulla conformità dei processi aziendali alle normative di compliance, come GDPR e Codice Privacy, D.Lgs. 231/2001.
Poiché la compliance coinvolge tutti i settori produttivi aziendali, i compliance manager e i compliance officer devono:
- essere dotati di competenze trasversali e multidisciplinare;
- svolgere una mappatura dei processi aziendali, al fine di verificarne la conformità anche nel tempo;
- eseguire le valutazioni dei rischi connessi ai trattamenti;
- pianificare le azioni di adeguamento;
- fungere da punto di contatto per tutti i settori aziendali;
- coadiuvare l’amministrazione nell’implementazione dei processi aziendali sulla base delle norme di legge e delle best practices applicabili;
- eseguire audit interni periodici.
Compliance aziendale come sinonimo di qualità
Oggi, garantire la compliance all’interno della propria azienda è diventato un sinonimo di qualità dell’intera organizzazione: dai prodotti, ai processi, fino ai sistemi.
Con particolare riferimento alle piccole e medie imprese, garantire l’accountability rappresenta un valore aggiunto che permette di distinguersi dalla concorrenza e di guadagnare una posizione di vantaggio nel proprio settore, specialmente nel caso in cui il cui core business dell’azienda si basi sulla raccolta e l’elaborazione dei dati forniti dai clienti.
Tuttavia, al fine di poter concretamente garantire la conformità alle normative privacy vigenti, occorre affidarsi a strumenti e consulenti certificati come P4I, che grazie a una expertise multidisciplinare e multisettoriale sono in grado di capire le peculiarità e le necessità della singola azienda, e di elaborare delle soluzioni su misura che permettano di assicurare la piena compliance alle normative vigenti in materia di privacy.
Anna Cataleta – Senior Legal Advisor