Nel percorso verso la compliance al GDPR, cioè verso la conformità al Regolamento europeo per la protezione dei dati, il titolare del trattamento è obbligato ad avere il controllo delle informazioni personali che tratta: i dati personali dei clienti, dei dipendenti, dei fornitori e così via. Quindi deve sapere quali dati tratta, come li tratta, perché, per quanto tempo e dove sono.
Deve avere il controllo di tutte le informazioni, anche di quelle che affida all’esterno e di conseguenza anche della governance esterna dei dati.

Ma cos’è la governance e quindi cos’è la governance esterna dei dati?

La governance dei dati personali e la metafora della flotta di navi

Governance significa saper guidare un’organizzazione, dirigerla e controllarla in ogni condizione. Significa governare come il capitano di una nave, che conosce ogni anfratto del suo natante, ogni pecca, le migliorie fatte negli anni e che sa anche come manovrarla, sia quando il mare è calmo sia quando le onde e il vento sono contrari. Il capitano sa a chi affidare i compiti più delicati, perché fa una selezione basata sull’esperienza, la competenza e l’affidabilità.
E se il capitano è al comando di una flotta, la sua governance si estende anche alle altre navi, dove i vari capitani sono autonomi nella gestione della loro imbarcazione, ma devono sempre rispondere al comandante, rispettare i suoi ordini, collaborare. Così, se il capitano della flotta chiede loro di vedere il diario di bordo – dove dimostrano che hanno navigato seguendo le sue indicazioni – non possono astenersi dal mostrarglielo, se chiede di dimostrare la loro affidabilità e competenza, non possono esimersi dal farlo.
Lo stesso deve avvenire in ambito GDPR, quando il titolare del trattamento affida ad un responsabile esterno parte dei dati personali che tratta.
Da un lato, come il comandante della flotta, il titolare esercita la governance perché deve avere il controllo dei dati trattati sia all’interno dell’organizzazione – la sua nave – sia all’esterno – le navi sotto il suo comando – cioè deve sapere come i fornitori a cui ha deciso di delegare alcune attività (i responsabili esterni) trattano i dati che ha affidato loro. Quindi verifica che i responsabili esterni siano conformi al Regolamento per mantenere sempre il controllo completo del flusso dei dati, definendo chiaramente anche quali sono i ruoli e le responsabilità.
Dall’altro lato, come i singoli capitani della flotta, i responsabili esterni hanno il diritto di verificare il perimetro di applicazione dei vincoli – cioè il titolare non può nominarli senza il loro consenso e per il trattamento di dati che non li riguardano – ma devono essere proattivi, collaborare e garantire la tutela delle informazioni personali anche per la loro parte di trattamento.
Su questa base, sia il titolare del trattamento che i responsabili esterni possono agire con accountability, così come richiesto dal GDPR.

Verifica dei responsabili esterni e le presunte ingerenze del titolare del trattamento

Quindi il processo per la costruzione della compliance al GDPR è di tipo top-down: parte dall’alto – dal titolare del trattamento – e si estende verso il basso, comprendendo anche i responsabili esterni. Perché si compia, però, è necessario che tutti i soggetti che gestiscono i dati siano coinvolti e collaborino tra loro. E qui a volte sorge un problema.
Può succedere che il responsabile esterno si metta di traverso.
L’art. 28 del GDPR dice che il responsabile del trattamento deve contribuire all’attività di revisione, comprese le ispezioni. Quindi gli chiede di essere proattivo, cioè di dimostrare che è conforme al Regolamento e di fare la sua parte anche in caso di visita ispettiva, producendo documenti – le prove – della sua compliance al GDPR. È legittimo che il titolare del trattamento, all’interno del contratto o della nomina del responsabile esterno, preveda delle clausole che definiscono questo coinvolgimento e il fatto di dimostrare la sua conformità.
Non si spiega allora perché, a volte, il responsabile esterno interpreti queste clausole come un’ingerenza non giustificata nelle sue modalità operative. Non è così. Il GDPR impone sia al titolare che al responsabile esterno l’obbligo di essere conformi e di collaborare insieme perché la compliance sia reale, perché non bastano i documenti.
La compliance è un percorso e richiede azioni continue. Quindi conservare la copia firmata del contratto o della nomina a responsabile esterno non è sufficiente, occorre predisporre l’evidenza di una verifica della loro efficacia. Cioè bisogna che il responsabile esterno dia delle prove, dimostri la sua conformità.
E poi non è neanche una novità quando si tratta di rapporti tra aziende: la qualificazione del fornitore, per esempio, è un’attività nota e già presente nelle imprese che hanno adottato un sistema di qualità (SGQ). In ambito privacy si traduce in una verifica della compliance del responsabile alla normativa.

Come si verifica la conformità del responsabile esterno?

La modalità di verifica del responsabile esterno non deve essere necessariamente quella dell’audit classico, ma può adeguarsi al contesto di applicazione, tenendo ben presenti la tipologia di dati personali trattati, le finalità del loro affidamento all’esterno e gli archivi eventualmente coinvolti. 
Ecco alcune indicazioni:
  • Questionari a risposta secca: SI/NO/NA
Vanno usati cum grano salis, tenendo conto della specificità di ciascun trattamento. Per evitare che non risulti un’autocertificazione, deve prevedere la possibilità di fornire evidenze concrete, per esempio allegando parte della documentazione del responsabile per dimostrare quanto dichiarato.
  • Cosa valutare?
Non solo gli aspetti tecnici. Gli aspetti tecnici sono importanti però costituiscono nel loro complesso un elemento di prova che il titolare può usare per capire se il responsabile agisce in modo adeguato al GDPR. Ma lo sono altrettanto anche gli aspetti procedurali come, per esempio, la capacità di gestire un Data Breach in tutte le sue fasi, a partire dalla sua rilevazione.
Non finirò mai di ripeterlo: non basta dichiarare, bisogna dimostrare. 
Ma paradossalmente, tutte le check-list si concentrano sulla dotazione del registro delle violazioni e ben poche esplorano la presenza di procedure per rilevarle e valutarle.
Come migliorare? Come essere più concreti?
Bisogna fare un passo in più. Bisogna definire, adottare e diffondere una policy specifica per l’uso e la protezione dei dati personali (Data Protection Policy), che comprenda, tra le altre, anche una procedura per la valutazione dei partner – cioè dei responsabili esterni – e che impegni il titolare a svolgere attività di monitoraggio interno ed esterno.
La Data Protection Policy è un documento che, se redatto adeguatamente, potrebbe integrare e sostituire il regolamento informatico e dimostrare la presenza nell’organizzazione di tutte le procedure organizzative per la protezione dei dati, così come richiesto dal GDPR.
FONTE: Privacylab BLOG – by Andrea Chiozzi socio fondatore e CEO di PRIVACYLAB SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.