Due diligence e gap analysis: i necessari presupposti per realizzare livelli elevati di compliance privacy in azienda
Un Consulente Privacy o un Privacy Officer, nel momento in cui assume il proprio incarico, è chiamato a verificare se l’organizzazione che lo ha designato disponga di un sistema di gestione della privacy, adeguatamente documentato in un MOP (Modello Organizzativo Privacy), e se tale sistema sia sufficientemente robusto da garantire la conformità ai requisiti di compliance stabiliti dal GDPR.
(Nella foto: Il Generale Giuseppe Alverone, relatore nel Seminario online 'Dalla fisiologia alla patologia. Come mantenere in salute un sistema di gestione privacy')
In mancanza di un MOP adeguato, Egli dovrebbe, invece, rilevare e valutare l’effettivo, attuale livello di compliance e registrare il divario con un livello di compliance desiderabile/raggiungibile.
Questo processo è definito “gap analysis” ed è prodromico alla definizione di una road map cioè un piano d'azione dettagliato e sequenziale finalizzato all'implementazione di miglioramenti tangibili e quantificabili.
Diventiamo responsabili per sempre di ciò che abbiamo addomesticato (Saint-Exupéry) - Il GDPR attribuisce il ruolo privacy di titolare del trattamento all’organizzazione o all’entità che, determinando finalità e mezzi di uno o più trattamenti, progetta e implementa un sistema di elaborazione di dati personali.
Ora, secondo il senso comune, colui che costruisce un sistema per realizzare obiettivi dovrebbe anche assumersi la piena responsabilità della gestione del sistema che ha costruito.
Questo è quanto ci ricorda un suggestivo aforisma che Antoine de Saint-Exupéry riporta nel “Piccolo Principe”, secondo il quale diventiamo responsabili per sempre di ciò che abbiamo addomesticato.
In tale quadro, risulta pienamente comprensibile la centralità che il GDPR attribuisce alla figura del titolare del trattamento.
Si tratta, peraltro, di una centralità operativa.
Infatti, il Considerando 74 del GDPR stabilisce la “responsabilità generale” del titolare per tutti i trattamenti da lui eseguiti:
- sia all’interno della sua organizzazione, attraverso il personale dipendente “autorizzato al trattamento”,
- sia all’esterno del suo contesto organizzativo, da altre entità che trattano dati personali, per suo conto, rivestendo il ruolo di “responsabili del trattamento”.
Il titolare del trattamento è quindi chiamato a gestire la sua responsabilità generale, esercitando il pieno controllo di tutte le attività di elaborazione dei dati personali.
Non è quindi un caso se questo ruolo privacy, così centrale, nella versione inglese del GDPR è definito “Controller”.
Per la verità, la versione inglese del GDPR consente di cogliere diverse sfumature concettuali che non sono identificabili nella versione in lingua italiana.
Così, ad esempio si scopre che la formula "responsabilità generale” riportata nel citato Considerando 74 è la traduzione in italiano della locuzione "responsibility and liability", che sta indicare come la responsabilità del titolare sia, non solo generale, ma anche multidimensionale, potendo essere declinata in:
- "Responsibility", cioè “responsabilità di portare a termine un compito che può, ad esempio, consistere nella progettazione e realizzazione di un sistema privacy conforme al GDPR;
- "Liability", cioè responsabilità legale che comporta, ad esempio, l’essere soggetti a sanzioni pecuniarie o al pagamento di risarcimenti;
- "Accountability", cioè la responsabilità di rendere conto delle proprie azioni. È la tipica responsabilità dei consigli di amministrazione delle aziende nei confronti degli investitori.
Il Modello Organizzativo Privacy per gestire la responsabilità generale dei trattamenti - Il GDPR attribuisce al titolare il descritto spettro di responsabilità ma nel contempo fornisce anche indicazioni su come gestirlo.
Infatti, il Considerando 78 stabilisce che il titolare del trattamento, al fine di poter dimostrare la conformità con il GDPR, dovrebbe adottare “politiche interne” e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita.
In sostanza, per gestire efficacemente la sua responsabilità generale, il titolare dovrebbe predisporre un sistema di gestione dei processi di elaborazione dei dati personali, adeguatamente documentato in un “Modello Organizzativo Privacy” (MOP).
Quindi è opportuno che qualsiasi organizzazione che tratti dati personali in modo sistematico applichi un Framework come il “Framework Nazionale per la Cybersecurity e la Data Protection” o adotti un sistema di gestione per la sicurezza delle informazioni come quello disegnato dalla ISO IEC 27001:2022 o, ancora meglio, implementi il sigillo europeo per la protezione dei dati “Europrivacy”.
Due diligence e gap analysis per realizzare miglioramenti tangibili e quantificabili della compliance - Sulla base di quanto finora descritto, un Consulente Privacy o un Privacy Officer, quando assume il proprio incarico, dovrebbe verificare se l’organizzazione che lo ha designato ha adottato un sistema di gestione privacy documentato in un MOP (Modello Organizzativo Privacy) e se questo risulti adeguato a dimostrare la compliance privacy dei processi aziendali.
Qualora, all’interno dell’organizzazione, manchi un Modello Organizzativo Privacy, Egli farebbe bene ad eseguire una “gap analysis” cioè un processo volto a valutare lo stato attuale della compliance e ad individuare le aree organizzative e le linee di business che necessitano di attenzione immediata perché non sono allineate ai principi fondamentali della protezione dei dati.
Una buona gap analysis parte quindi dalla c.d. due diligence cioè dalla definizione di un quadro chiaro e completo dell’effettivo livello di compliance dell’organizzazione. Il passo successivo consiste appunto nel rilevare e valutare il divario tra il livello di compliance effettivo, risultante dalla due diligence, ed il livello desiderabile o raggiungibile.
L’adempimento successivo che, come naturale conseguenza andrebbe realizzato, consiste nella definizione di una road map, cioè di una tabella di marcia che consenta al Consulente Privacy o al Privacy Officer di accompagnare l’organizzazione verso miglioramenti evidenti e soprattutto misurabili, attraverso l’individuazione delle lacune organizzative e dei rischi per i diritti e le libertà fondamentali delle persone fisiche.
Conclusioni - In questo articolo si è cercato di evidenziare quanto sia importante, per un’organizzazione che tratti dati personali in modo sistematico, dotarsi di un Modello Organizzativo Privacy adeguato e designare un bravo Consulente Privacy o Privacy Officer che sia in grado di valutarlo e di migliorarlo.
Così, la combinazione di misure tecniche ed organizzative adeguate e di competenze elevate si rivela come un pilastro su cui costruire sostenibilità e competitività dei processi aziendali, nel quadro del pieno rispetto dei diritti e delle libertà fondamentali delle persone fisiche.