GDPR: le soluzioni software che semplificano la vita ai legali

16 Ottobre 2020 in Governance Risk & Compliance As a Service - GRC360

GDPR

Per capire come le soluzioni software possano supportare gli uffici legali e gli uffici privacy nel gestire gli adempimenti previsti dalle normative in materia di protezione dei dati personali, occorre partire dalle responsabilità che il GDPR pone in capo ai titolari del trattamento, tenuti, sulla base del principio di accountability, a dimostrare la propria conformità. Ciò significa in alcuni casi non solo rispettare le prescrizioni normative ma anche essere in grado di documentare le scelte effettuate per conformarvisi.

Quali sfide da superare

Un esempio tipico è la necessità aggiornare continuativamente i registri dei trattamenti come previsto dall’art. 30 del GDPR. Se i registri sono predisposti, come accade di frequente, utilizzando software di produttività individuale (word o più presso Excel), non è facile poter dimostrare nel tempo che gli stessi siano stati aggiornati, quali modifiche siano state apportate, quando e da chi. Soluzioni informatiche che consentono la gestione dei registri dei trattamenti, invece, permettono di produrre e conservare un set di informazioni complementari (accessi, modifiche, ecc) volte a tracciare le attività svolte, rendendo più agevole al titolare, e alle funzioni dedicate alla gestione della data protection quali gli uffici legali e gli uffici privacy, la dimostrazione della propria conformità ai requisiti normativi.

La gestione della data protection by design e dei data breach

Le soluzioni informatiche possono supportare efficacemente la gestione di ulteriori adempimenti previsti dal GDPR, quali, per mero esempio, la data protection by design o la valutazione dei potenziali data breach.

In merito alla data protection by design le organizzazioni (titolari del trattamento) sin dal momento della progettazione (quando si determinano i mezzi del trattamento) devono poter dimostrare di aver messo in atto misure tecniche e organizzative adeguate per garantire la conformità al GDPR. Questo significa che, per esempio, lo sviluppo o l’introduzione di nuove soluzioni tecnologiche per operazioni di trattamento deve avvenire nel rispetto di questo adempimento. È evidente come l’utilizzo di software in grado di incanalare i processi decisionali ed approvativi e di conservare l’esito delle valutazioni effettuate nei vari step di progettazione agevolano la dimostrazione di aver agito seguendo i dettami della data protection by design.

Un ragionamento analogo può essere fatto rispetto alla gestione dei data breach. Si tratta di eventi particolarmente critici per i titolari del trattamento che, in pochissimo tempo ed in emergenza, devono effettuare valutazioni complesse, sotto il profilo sia legale sia tecnico, per decidere se effettuare le previste notifiche all’Autorità di Controllo o addirittura agli interessati. Anche in questo caso, soluzioni software in grado di governare il flusso delle attività da svolgere in caso di violazione dei dati personali e di catalogare gli eventi avvenuti nel tempo aiutano il titolare a rispettare i requisiti normativi ed i passaggi previsti dalle procedure interne, mettendolo nelle condizioni di poter dimostrare continuativamente di aver gestito correttamente i data breach occorsi.

Le funzionalità per gli auditor

La visione sistemica e gestionale sulla quale appare essere costruito il GDPR rafforza l’importanza delle attività di audit, quali strumenti per verificare la propria conformità e pianificare in modo continuativo le azioni di rimedio conseguenti. Occorre inoltre considerare che il GDPR ha ampliato la platea dei soggetti da verificare, estendendola anche ai fornitori esterni che effettuano trattamenti di dati personali per conto del titolare (responsabili del trattamento). In questo contesto vi sono diverse soluzioni tecnologiche che arrivano a gestire l’intero ciclo di audit, dalla programmazione ed esecuzione (anche a distanza ed in modalità self-service) sino al follow up delle azioni di rimedio individuate. La formalizzazione di tali attività all’interno del software aiuta a dimostrare l’effettività del proprio modello organizzativo attraverso una documentata attività di verifica degli adempimenti in esso disciplinati.

In generale tutti gli adempimenti possono essere gestiti con soluzioni software

In estrema sintesi, le soluzioni informatiche possono supportare anche altri adempimenti normativi come la gestione dei diritti degli interessati, le attività di analisi del rischio, l’individuazione delle misure adeguate di sicurezza e le valutazioni di impatto (data protection impact assessment).

Come scegliere soluzione software che semplifica la gestione GDPR

La gestione degli adempimenti normativi legati alla protezione dei dati personali può essere effettuata anche senza il supporto di software, ma con la crescita delle dimensioni e della complessità organizzativa aumentano più che proporzionalmente i problemi connessi ad una efficace documentabilità delle scelte effettuate e delle azioni poste in essere.

Le soluzioni software non solo consentono di archiviare in modo strutturato le informazioni e la documentazione di adempimento, ma anche di governare i principali processi legati alla protezione dei dati personali consentendo un’operatività conforme alle procedure interne e molto utile ai fini della dimostrazione della loro effettiva applicazione.

Ogni organizzazione, sulla base delle proprie dimensioni ed esigenze, può scegliere fra soluzioni software molto strutturate e complete che gestiscono la totalità degli adempimenti legati alla data protection, e soluzioni che sono focalizzate solo su alcuni di essi. Vi sono altresì soluzioni modulari che consentono nel tempo la possibilità di estendere la copertura del software avvalendosi della stessa infrastruttura tecnologica ed interfacce.

Andrea Reghelin – Associate Partner presso P4I – Partners4Innovation

P4I - White Paper - privacy by design