L'esecuzione di un assessment passa attraverso il completamento di 6 passi (step) in grado di portare l'organizzazione ad avere un quadro chiaro delle azioni da implementare per essere conforme al GDPR, opportunamente inserite all'interno di un piano di adeguamento.

Fonte, Dati e Graphics by NetworkDigital360

 

1. IDENTIFICAZIONE, COMPRENSIONE E CLASSIFICAZIONE DEI REQUISITI

Identificazione, comprensione e classificazione dei requisiti del GDPR in funzione degli assi del modello di protezione dei dati personali, mettendo in evidenza eventuali legami con normative settoriali (es. settore bancario - circolare n.285 del 17 dicembre 2013) e tenendo costantemente monitorata l'emanazione di nuove disposizioni e linee guida delle competenti Autorità nazionali ed europee (es. linee guida del Gruppo di lavoro ex articolo 29). Consigliamo di leggere attentamente gli articoli (e i considerando del GDPR) e, per ciascun articolo, mappare i requisiti in funzione degli assi del modello di protezione dei dati personali (ad esempio gli artt. 37,38,39 del GDPR relativi al DPO hanno impatti sugli assi "Organizzazione e ruoli" e "Persone, cultura e competenze; l'art. 30 del GDPR ha impatti sugli assi "Processi e regole" e "Documentazione")

2. INDIVIDUAZIONE E INGAGGIO ATTORI AVENTI UN RUOLO "ATTIVO"

Individuazione e ingaggio di tutti gli attori, sia interni sia esterni, chiamati a ricoprire un ruolo "attivo" in fase di pianificazione, esecuzione e monitoraggio del percorso di adeguamento, ma anche nella gestione del modello di protezione dei dati personali a regime. Il consiglio è di coinvolgere, fin da subito, uno o più referenti delle seguenti funzioni aventi il ruolo di indirizzo e governo del modello: Affari Legali, Sistemi Informativi, Sicurezza (Safety e Security), Organizzazione e Risorse Umane, Conformità e Rischio.

3. CREAZIONE E IMPLEMENTAZIONE DI UN MODELLO DI ANALISI

Creazione e implementazione di un modello di analisi per l'individuazione del livello di maturità dell'organizzazione in relazione al Regolamento. Le analisi svolte per classificare i requisiti del GDPR e il contributo dei referenti ingaggiati nell'assessment possono essere messi a sistema al fine di generare un modello di rilevazione strutturato e completo (Data Protection Maturity Model), a garanzia della copertura delle aree funzionali maggiormente impattate dal Regolamento (ad esempio IT, Sicurezza) e dell'indirizzamento di tutti i requisiti (ad esempio aggiornamento informative e contratti, creazione procedure Privacy by Design, Data Breach).

Consigliamo di creare uno o più strumenti (es. questionario) che comprendano domande legate ai requisiti del GDPR, organizzate in funzione delle 6 componenti del modello: Organizzazione e ruoli, Persone, competenze e cultura, Processi e regole, Documentazione, Tecnologie e strumenti, Sistema di controllo. Per esempio: per l'asse Documentazione: - è stato elaborato un registro dei trattamenti conforme ai requisiti del GDPR?  - Sono state predisposte o aggiornate informative e consensi in funzione dei requisiti del GDPR? - Sono state predisposte o aggiornate le lettere di nomina a Responsabili esterni del trattamento in funzione dei requisiti del GDPR?

4. MAPPATURA PRELIMINARE DEI TRATTAMENTI E CREAZIONE DEL REGISTRO

Mappatura preliminare dei trattamenti e creazione del registro dei trattamenti, che costituisce una delle novità di maggior rilievo introdotte dal GDPR. All'interno del percorso di adeguamento, la costruzione del registro dei trattamenti ha un ruolo di centrale importanza in quanto, oltre a essere un obbligo legale, rappresenta un elemento imprescindibile per la realizzazione di un numero significativo di azioni inserite nel piano di adeguamento, quali ad esempio la revisione documentale (informative e consensi, contratti e lettere di nomina) e l'implementazione di misure di sicurezza adeguate in funzione del rischio associato al trattamento.  Consigliamo di adottare un modello di registro dei trattamenti che integri le informazioni minime richieste dal Regolamento con elementi aggiuntivi in grado di trasformare il registro in un vero e proprio asset aziendale, mantenendo un collegamento diretto con i principali "oggetti aziendali". Nello specifico, consigliamo di inserire i seguenti elementi:

  • PROCESSI/MACRO-ATTIVITÀ, per poter inquadrare i trattamenti all'interno delle attività svolte da ciascuna Unità Organizzativa e facilitarne la comprensione e l'aggiornamento da parte dei responsabili
  • BASE GIURIDICA E MODALITÀ DI RACCOLTA DEL CONSENSO, per facilitare la predisposizione dell'informativa da fornire all'interessato. Al riguardo, ricordiamo che l'art. 13 co. I l. c) del GDPR ricomprende la base giuridica del trattamento tra gli elementi che devono essere contenuti all'interno dell'informativa
  • REFERENTE INTERNO E CATEGORIE DI SOGGETTI AUTORIZZATI AL TRATTAMENTO, per fornire indicazioni utili in merito a persone che, limitatamente ai trattamenti di propria competenza, avranno dei compiti esecutivi all'interno del modello di protezione dei dati personali
  • MODALITÀ DI TRATTAMENTO DEI DATI, per poter mappare con precisione, attraverso l'elencazione dei soli applicativi utilizzati per il trattamento dei dati personali, le misure di sicurezza implementate/da implementare, nonché per poter condurre efficacemente la valutazione dei rischi
  • EFFETTUARE UNA MAPPATURA PRELIMINARE DEI TRATTAMENTI DI CIASCUNA UNITÀ ORGANIZZATIVA, prima di coinvolgere i relativi referenti per una opportuna validazione/ integrazione, partendo dalle informazioni contenute nella documentazione aziendale disponibile (es. organigramma, funzionigramma, mappa dei processi, mappa applicativi) evidenziando, in particolare, se i trattamenti sono eseguiti con supporto di partner esterni e se il servizio/sistema/ applicativo utilizzato per il trattamento è in outsourcing.

 

5. IDENTIFICAZIONE E CLASSIFICAZIONE DEI GAP DA COLMARE

Identificazione e classificazione dei gap da colmare per conformarsi al GDPR, a livello sia di modello di protezione dei dati personali complessivo (es. introduzione della figura del DPO) sia di singoli trattamenti censiti (es. modifica di informative e consensi per attività di profilazione), per i quali è necessario valutare attentamente i rischi di non conformità. Consigliamo di predisporre un elenco delle non conformità con specifica, per ciascuna voce, di: riferimenti normativi (articoli e considerando del GDPR, ma anche linee guida WP29), asse/i del modello impattato/i, rischi di non conformità connessi (sanzioni, perdite finanziarie rilevanti o danni reputazionali), impatti per gli interessati.

6. DEFINIZIONE DEL PIANO DI ADEGUAMENTO COMPLESSIVO

Definizione del piano di adeguamento complessivo, comprensivo di un elenco di azioni, opportunamente prioritizzate, finalizzate a colmare i gap evidenziati. Per ciascuna azione inserita nel piano è necessario fornire indicazioni in merito alle attività da completare, agli attori e alle loro relative responsabilità, alle tempistiche e milestone nonché alle modalità di rilascio attese.

Consigliamo di scomporre il piano di adeguamento in "cantieri di lavoro" che richiamino gli attori a cui sarà attribuita l'ownership delle azioni in essi contenute (Affari Legali; Sistemi Informativi; Compliance; ?). Per ciascun cantiere, inoltre, dovranno essere individuate azioni facilmente riconducibili ad articoli e considerando del GDPR, anche in termini di nomenclatura, opportunamente integrate con azioni trasversali a supporto della buona riuscita del percorso (per esempio: piano degli investimenti; piattaforma GRC; attività di coordinamento).

Ad esempio, al Cantiere di lavoro "Affari Legali" potranno essere attribuite le seguenti azioni: informative e consensi; registro dei trattamenti; termini di conservazione; gestione diritti degli interessati; fornitori e contratti; trasferimento dati extra UE.

Tra le azioni da non trascurare per mettere a terra e far funzionare correttamente il modello di protezione dei dati personali, vi è sicuramente la definizione e implementazione di un piano di formazione delle persone, le cui azioni verticali dovranno essere opportunamente differenziate in funzione della tipologia di ruolo ricoperto all'interno dell'organizzazione (ad esempio referenti interni del trattamento, soggetti autorizzati al trattamento, popolazione aziendale). Le persone dovranno essere messe nelle condizioni da un lato di comprendere i requisiti del GDPR, ivi comprese l'entità delle sanzioni collegate a eventuali non conformità, e dall'altro di comprendere le disposizioni e le norme di autoregolamentazione di cui si è dotata l'organizzazione, con particolare riferimento al comportamento da tenere verso l'esterno (ad esempio la gestione diritti degli interessati).

La definizione e l'implementazione di un processo di analisi del rischio, per giustificare le contromisure, valutare che siano efficaci, di costo ragionevole, effettivamente applicabili al contesto, in grado di rispondere in tempo alle minacce e assegnare una priorità di trattamento dei rischi, consente di determinare l'investimento necessario all'azienda per proteggersi. Il processo, per essere efficace, deve utilizzare una metodologia che permetta la riproducibilità dei risultati e deve prevedere come prima attività la definizione di un "risk appetite" anche qualitativo, vale a dire una soglia oltre la quale si ritiene l'impatto e/o la probabilità del realizzarsi di un rischio non accettabile. Questo permetterà di comprendere, a valle dell'analisi effettuata, quali applicazioni tutelino a sufficienza i dati e su quali, invece, sia necessario intervenire, al fine di implementare ulteriori opportune misure tese a mitigare il rischio, fino a renderlo accettabile. Gli interventi tecnico-organizzativo individuati diventeranno evidentemente parte del piano di adeguamento.

7 maggio 2018