Compliance ed essere compliant sono espressioni tipiche di chi lavora nell’ambito del Regolamento europeo per la protezione dei dati. Avvocati, consulenti, esperti di GDPR usano spesso questo termine, ma quanti professionisti ed imprenditori sanno veramente cosa significa? In questo articolo vediamo cosa vuol dire compliance e soprattutto cosa significa essere compliant al Regolamento per la protezione dei dati. 

Il significato di compliance

Come accountability,(clicca per saperne di più) anche compliance è una parola anglosassone. Deriva da to comply cioè accondiscendere. A sua volta to comply deriva dal latino complere, che significa compiere (fonte Treccani.it). C’è compliance quando il paziente segue le prescrizioni del medico curante e quindi collabora attivamente seguendo le sue indicazioni. C’è compliance quando l’azienda, l’ente o il professionista aderisce e rispetta delle regole, delle leggi o il codice deontologico.
Adesione, conformità, rispetto delle regole.
Sono tutti sinonimi che possono chiarire il significato di questa espressione così usata in ambito GDPR.

La conformità in azienda: cosa vuol dire essere compliant

In azienda la compliance o conformità si esprime in molti modi:
  • Conformità alla legge – L’azienda è compliant quando rispetta le norme per la tutela dei lavoratori e la sicurezza sul lavoro, paga le tasse, non usa personale in nero, versa i contributi. Cioè agisce nel rispetto della legge.
  • Conformità ad uno standard – Tipico delle aziende produttive, anche il rispetto di determinate qualità e caratteristiche di un prodotto è un esempio di compliance.
  • Conformità a delle best practice o ai codici deontologici – È compliant l’azienda che rispetta le buone pratiche, i codici deontologici e tutte le regole di soft law, cioè le norme che non sono emanate dal Parlamento e dagli organi dotati di potere legislativo, ma che indicano le regole di comportamento di una certa categoria o di un settore.
Dice Treccani:

Secondo una prospettiva economico-aziendale, il termine compliance è messo in relazione al sistema di controllo interno, inteso come «l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi» Comitato per la corporate governance, Borsa Italiana S.p.a. (Codice di autodisciplina, 2006).

Quindi la compliance è legata alle regole e ai sistemi di controllo interni all’azienda, cioè alle procedure che adotta per garantire il rispetto delle leggi e delle regole interne ad essa: da come si comportano i dipendenti, i quadri e gli amministratori, fino alla scelta dei consulenti, dei fornitori e di tutti i soggetti che a vario titolo lavorano con l’azienda.

Cosa vuol dire essere compliant al GDPR

Essere GDPR compliant significa essere conformi al Regolamento europeo per la protezione dei dati, rispettarne i princìpi e adottare procedure organizzative e di sicurezza perché il rischio sui dati trattati sia basso, verificando che anche tutta la catena dei responsabili sia compliant, dai titolari ai responsabili esterni.
Essere conformi al GDPR significa anche che il titolare del trattamento, i suoi addetti ed i responsabili esterni (clicca per saperne di più) devono essere formati ed informati su cosa prevede il Regolamento, su cosa sono i dati personali, i dati sensibili, su cos’è e come si gestisce un Data Breach (clicca per saperne di più) (o violazione dei dati) e su come comportarsi per proteggere i dati personali.
Quindi, per essere compliant, bisogna agire con accountability.

Per essere conformi, bisogna agire con accountability

E per agire con accountability bisogna essere 3 cose: consapevoli, competenti e responsabili.

1 – Consapevoli

Il titolare del trattamento ed il responsabile esterno devono essere consapevoli di quello che stanno facendo e sapere:
  • quali dati trattano
  • dove si trovano i dati raccolti
  • di chi sono
  • come vengono utilizzati
  • perché vengono utilizzati

Quindi, per essere consapevoli, la prima cosa da fare è formarsi e rivolgersi a dei consulenti esperti e aggiornati, che siano un aiuto concreto verso la compliance al GDPR.

2 – Competenti

I dati vanno trattati solo se il rischio residuale è basso. Quindi prima di trattare un dato, è importante valutare i rischi che corre. Essere competenti significa che va fatta un’analisi dei rischi e quindi che si adottano le contromisure necessarie per proteggere i dati.
Ma quali sono i rischi che corrono i dati personali? Sono solo 6:
1 – Distruzione. Per esempio, qualcuno cancella per sbaglio o volontariamente l’unico file che contiene certi dati personali – come l’Excel con le mail di tutti i clienti – e non è più possibile recuperarli
2 – Indisponibilità. Per esempio, i dati ci sono, ma non sono più disponibili. È il caso del Cryptolocker che blocca tutti i documenti e non consente più l’accesso ai dati.
3 – Perdita. Per esempio, quando qualcuno ruba il computer che conteneva i dati personali.
4 – Alterazione. Per esempio, qualcuno modifica per sbaglio dei dati personali.
5 – Divulgazione. Per esempio, qualcuno diffonde dati personali su Facebook o via mail.
6 – Accesso. Per esempio, qualcuno vede dei dati che non doveva vedere perché accede ad un file che avrebbe dovuto essere protetto.
Ma questo non basta. Bisogna anche dimostrare – con i fatti e con la documentazione, non a parole – di aver adottato tutte le contromisure necessarie per far sì che il rischio residuale sui dati sia basso. Contromisure che non sono solo informatiche, ma anche organizzative.
Quali scegliere? Nulla è obbligatorio, sta al titolare decidere che tipo di contromisure adottare. La formazione di addetti, responsabili esterni e del titolare stesso, per esempio, fa parte delle azioni da mettere in campo per mantenere basso il rischio sui dati trattati.

3 – Responsabili

Adottare tutti gli accorgimenti interni non basta. Il GDPR obbliga il titolare del trattamento a verificare che anche i responsabili esterni – cioè coloro che trattano alcuni dati personali per conto del titolare; per esempio lo studio paghe, la software house, l’avvocato e così via – siano conformi al Regolamento e se non lo sono può revocare l’incarico. Quindi, per essere conforme al GDPR, il titolare deve controllare i suoi responsabili esterni,(clicca per saperne di più) sapere se si comportino in maniera adeguata, abbiano adeguate contromisure e trattino i dati in modo che il rischio residuale sia basso. Deve anche sapere se i responsabili esterni affidano parte dei trattamenti ad altri.
È una catena che deve essere chiara fin dall’inizio e che va certificata.

Ricapitolando

Compliance significa conformità. Essere compliant quindi significa essere conformi.
In ambito GPDR, essere compliant significa rispettare princìpi e regole previsti dal Regolamento europeo con un atteggiamento proattivo, non passivo di fronte alla legge, e quindi agire sempre e prima di tutto con accountability. (clicca per saperne di più)
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
FONTE: PRIVACYLAB BLOG – Redazione