Data BreachGARANTE PRIVACYGDPRPUBBLICAZIONISANZIONI“Check list privacy: un semplice aiuto per tenere traccia delle attività da gestire e autovalutarsi”

7 Luglio 20220

Un consiglio pratico per destreggiarsi fra le numerose attività di adempimento privacy: una check list in cui il Titolare del trattamento annota periodicamente lo status delle attività in corso di gestione, nell’esercizio della propria accountability.

 

Premessa

Nel 2018, anno in cui il Regolamento UE 2016/679 è divenuto pienamente applicabile, molte imprese si sono dedicate alla messa a norma privacy della propria realtà aziendale. L’attenzione per la protezione dei dati personali, conseguentemente alla recente novità normativa, era allora molto alta. La sfida diviene quindi mantenere nel tempo l’attenzione e la cura per gli aspetti privacy, valorizzando e portando avanti quanto effettuato al momento della messa a norma.

 

L’accountability – un approccio da mantenere nel tempo

Il principio di accountability, vera e propria novità rispetto alla precedente normativa, può essere considerato come il filo rosso che lega e accomuna – sia a livello teorico che a livello pratico – la tutela del dato personale all’interno dell’Unione Europea: al Titolare del trattamento viene richiesto di prendere consapevolezza delle attività di trattamento di dati personali svolte, definendo una procedura la quale, fin dalla fase di pianificazione del trattamento (cd principio “privacy by design”) e in modo intrinseco a ogni attività effettata (cd. principio “privacy by default”), risulta conforme a un’idea di fondo che valorizza la protezione e la tutela del dato.

Il concetto di accountability ha visto numerose traduzioni – il termine anglosassone tuttavia difficilmente si presta ad una trasposizione netta.

Il  Titolare del trattamento deve poter essere in grado di dimostrare in quale modo egli esercita la responsabilità nel trattamento dati e la verificabilità delle scelte compiute, anche successivamente alla messa a norma iniziale

Nel tempo è dunque necessario verificare se quanto programmato è stato effettivamente realizzato, nel rispetto degli standard di sicurezza auspicati o, in caso contrario, poter comprendere con precisione quali lacune devono essere colmate.

 

Impariamo dal ciclo di Deming – la fase di “CHECK”

Plan – Do – Check – Act – le quattro fasi chiave del ciclo di Deming non sono una novità, ma rappresentano uno spunto da cui trarre ispirazione anche per quanto riguarda le attività e gli adempimenti in ambito trattamento dati personali. Ci si riferisce, in particolare, alla fase “Check”, ossia, di controllo e verifica dello status di una determinata attività.

Nell’esperienza del consulente privacy, può succedere che durante le fasi di Audit e di verifica periodica, ci si ritrovi davanti al medesimo status di adeguamento privacy del momento storico in cui l’attività di messa a norma iniziale era stato concluso. Ossia, quando sono trascorsi alcuni mesi, a seguito di numerosi cambiamenti nella strutturazione aziendale, sia a livello interno che a livello esterno. Possibili scenari:

  • A seguito di nuove assunzioni, la documentazione predisposta per la gestione dei trattamenti di dati personali da parte dei dipendenti, non risulta portata avanti;
  • nuovi fornitori che trattano, per conto dell’azienda titolare del trattamento, dati personali anche di natura particolare, nei cui confronti non risulta gestita la nomina a responsabile del trattamento ai sensi dell’art.28 del Regolamento UE 2016/679;
  • nuovi progetti, che magari comportano un rischio elevato per le libertà e i diritti degli interessati, per cui il consulente privacy non è stato avvertito, e la valutazione di impatto risulta mancante.

Inoltre, può esservi stato una modifica nella persona del referente aziendale del consulente privacy, in mancanza di un adeguato passaggio di consegne. Può configurarsi, in questa situazione, una sorta di tabula rasa per quanto riguarda lo status delle attività privacy.

Insomma, il tempo è trascorso, la configurazione iniziale della messa a norma non risulta più attuale, ma lo status degli adempimenti privacy è rimasto invariato.Cosa fare per evitare la cristallizzazione obsoleta e raggiungere quel processo dinamico, ragionato e consapevole nel trattamento dati che la normativa auspica e richiede?

Un aiuto concreto per le aziende può essere il più semplice degli accorgimenti – una check list relativamente alle attività di adempimento da compiere.

Non adagiarsi sugli allori, ma mantenere alta l’attenzione. È la costanza a fare la differenza

 

Una siffatta lista di attività, che in base alla realtà aziendale può essere calata nelle varie aree e affidata i referenti competenti per area, può mantenere viva l’attenzione ed evitare dimenticanze. Ulteriore vantaggio è che tali check list possono rappresentare validi strumenti di autovalutazione di aderenza alla normativa privacy da parte del Titolare del trattamento, che stimola un approccio dinamico e proattivo per il mantenimento nel tempo di una strutturazione privacy compliant.

Come in tanti aspetti, la costanza fa la differenza.

 

Link immagine: https://www.cybersecurity360.it/legal/privacy-dati-personali/gdpr-e-accountability-ecco-come-costruire-e-governare-un-sistema-di-gestione-privacy/

 

Siamo qui per aiutarTi!

Contattaci

Leave a Reply

Rimani in contatto con noiSocial links
Ti terremo aggiornato su tutte le novità del mondo compliance.
AboutContatti
Siamo qui per te
infoSede legale
La nostra Sede
Rimani in contatto con noiSocial links
Ti terremo aggiornato su tutte le novità del mondo compliance.

© 2020 Renorm – Tutti i diritti riservati – Powered by Italian Alchemy and Webita

© 2020 Renorm – Tutti i diritti riservati – Powered by Italian Alchemy and Webita