Ispezioni del Garante Privacy, aziende e DPO pronti ad affrontarle con procedure interne e simulazioni
Lo scorso anno un rapporto dell’Osservatorio di Federprivacy ha rivelato che il 54% dei Data Protection Officer vede una possibile ispezione del Garante della Privacy alla stregua di un’emergenza, e questo mette in evidenza che le aziende non possono stare alla sorte sperando che il Nucleo Privacy della Guardia di Finanza o la stessa Autorità non bussino mai alla loro porta, ma devono tenersi sempre pronte a una tale eventualità.
(Nella foto: Nicola Bernardi, presidente di Federprivacy)
Procedure interne - Riguardo all’opportunità di farsi trovare pronti di fronte a una inaspettate ispezione, vi sono peraltro grandi aziende operanti in settori in cui i trattamenti di dati personali rivestono particolari criticità, che hanno incluso nelle proprie procedure interne manuali e documenti come “Vademecum delle prassi per la cooperazione con Garante Privacy”, in cui hanno stabilito in anticipo come affrontare tali situazioni, individuando ad esempio ruoli di responsabilità nel presidiare la PEC aziendale e nel ricevere i funzionari dell’autorità, come allertare le funzioni da coinvolgere sia per gli aspetti normativi che quelli relativi alla cybersecurity, verificare tempestivamente che tutta documentazione potenzialmente richiesta dagli ispettori sia pronta per essere messa a loro disposizione, e come cooperare diligentemente con essi per tutta la durata dell’attività ispettive.
Questo approccio, oltre che a stabilire cosa fare e come fare per non farsi cogliere impreparati in tali circostanze, è sicuramente utile per evitare di andare nel panico se l’autorità si dovesse presentare all’ingresso dell’azienda con scarso o nessun preavviso.
Ovviamente, è opportuno prepararsi in anticipo e monitorare costantemente il mantenimento di una generale conformità al GDPR non solo per evitare le sanzioni del Garante, ma anche per avere il controllo del perimetro dei dati aziendali per utilizzarli lecitamente e al meglio, dato che essi sono a tutti gli effetti un asset delle organizzazioni dell’era digitale.
Ruolo del DPO - In questo contesto, il Data Protection Officer ha un ruolo cruciale, in quanto trai principali compiti che gli sono assegnati dall’art. 39 b) del Regolamento UE 2016/679 egli deve sorvegliare l'osservanza dello stesso GDPR e delle altre disposizioni dell'UE o degli Stati membri relative alla protezione dei dati, nonché delle politiche del titolare del trattamento o del responsabile del trattamento, “comprese l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”, definizione quest’ultima che non a caso è resa “audit” nella versione inglese del Regolamento europeo.
Attività di Audit - E proprio l’audit è uno degli strumenti più efficaci che può aiutare un’azienda a svolgere una periodica attività di monitoraggio per verificare il livello della propria compliance al GDPR.
Tali audit possono essere svolti a più livelli, e nella prassi quelli di prima parte sono effettuati in modo indipendente dallo stesso DPO e/o dai suoi collaboratori, prestando attenzione a non incorrere in un potenziale conflitto d’interesse che potrebbe derivare ad esempio dal controllo di processi aziendali in cui egli stesso è coinvolto con il rischio di “controllare sé stesso”. Naturalmente, un audit di prima parte presuppone che l’organizzazione esaminata disponga di un sistema di gestione della privacy aziendale che ne individui chiaramente requisiti, criteri ed altre regole che devono essere note alle funzioni sottoposte all’esaminazione.
Gli audit di seconda parte, sono invece svolti verso organizzazioni esterne su cui si hanno interessi particolari, e nell’ambito della compliance GDPR vi rientrano sicuramente quei fornitori in outsourcing che trattano dati personali per conto dell’azienda titolare, e che per questo devono essere designate come “responsabili del trattamento” ai sensi dell’art.28 del Regolamento europeo, con l’obbligo di “mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del suddetto articolo, consentendo e contribuendo alle attività di revisione, comprese le ispezioni realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato”.
Anche negli auditi di seconda parte il Data Protection Officer ha un ruolo fondamentale, perché rientra nei suoi compiti quello di sorvegliare il rispetto del GDPR anche per quei trattamenti di dati che avvengono al di fuori del perimetro aziendale, e spetta principalmente a lui di identificare le criticità dei fornitori e individuare quelli su cui effettuare periodicamente degli audit.
Vi sono infine gli audit di terza parte, che il titolare del trattamento può commissionare ad un organismo di certificazione esterno accreditato, il quale svolge attraverso propri esperti da esso incaricati la sua attività di audit in modo del tutto indipendente e con maggiori garanzie di poter avere poi risultanze finali obiettive senza il rischio che possano essere in qualche modo “autoreferenziali” oppure influenzate da compiacenze in cui si potrebbe scivolare quando gli audit vengono svolti “tra colleghi” che rispondono allo stesso management.
Nonostante le crescenti garanzie su cui si può contare aumentando il livello di audit, quello che questo strumento riescono a fare in modo limitato è però ricreare le situazioni imprevedibilità e di tensione che generalmente caratterizzano una vera ispezione del Garante.
Simulazione di ispezione - Se da una parte, delle procedure che indicano a tutte le funzioni coinvolte come comportarsi in tali casi contribuiscono ad attivarsi in modo ordinato e coerente, non possono però tenere conto del fattore umano, e non è possibile sapere come il team e lo stesso DPO reagiranno di fronte all’improvvisa apertura di uno stato di crisi, come è un’ispezione sulla privacy, almeno fino al momento in cui non si troveranno effettivamente a tu per tu con le fiamme gialle o con i funzionari del Garante.
L’unico strumento che può realisticamente rivelarlo, e che per certi versi può superare addirittura l’utilità degli audit, è plausibilmente uno “stress test” che si può effettuare attraverso una simulazione più rassomigliante possibile a quello che sarebbe lo scenario di una vera ispezione del Garante.
Negli ultimi anni, alcune grandi aziende operanti nei settori critici della protezione dei dati personali hanno sperimentato in varie occasioni questo strumento, mettendo in campo modalità tipiche di una reale ispezione dell’Autorità che sono riuscite a far percepire al team aziendale, anche in modo sorprendente, uno stato di tensione tale da fare emergere lacune emotive ed organizzative che altrimenti non sarebbero mai state conosciute al management.
Nessun audit, seppur realizzato in modo ineccepibile, può infatti testare quale può essere la reazione se il team riceve una PEC che avverte l’arrivo di una ispezione del Nucleo Privacy al mattino seguente, o se un ufficiale delle fiamme gialle suona al campanello dell’azienda, e se durante l’ispezione i funzionari del Garante interrogano e mettono sotto pressione il DPO, il CISO, ed altre persone interessate da potenziali violazioni, chiedendo loro di esibire valutazioni d’impatto ed altri documenti, e forse osservando senza troppe galanterie le non conformità riscontrate.
Gli effetti che può produrre l’atmosfera che si può verosimilmente creare in certe situazioni, si può quindi riprodurre solo con una simulazione di ispezione, che per essere davvero efficace deve essere fatta talmente bene da sembrare vera, e questo richiede al DPO e allo stesso management di sapersi mettere in discussione con la consapevolezza che è meglio un’ispezione finta che una sanzione vera.
