Software GDPR: i requisiti fondamentali per il controllo

14 Maggio 2020 in Governance Risk & Compliance As a Service - GRC360

DPO

Gli strumenti digitali e, in particolare, un software GDPR, possono fornire un valido sostegno al DPO nell’espletamento di uno dei suoi compiti principali: l’attività di controllo. Una mansione che ha diverse declinazioni. Vediamo in che modo questo avviene e quali sono le soluzioni più efficaci per semplificare la quotidianità del DPO.

Software GDPR per il monitoraggio

Il DPO svolge attività di controllo in azienda secondo due accezioni differenti:
• Il monitoraggio
• La verifica

Nel primo caso, si tratta di monitorare che le regole del GDPR e, più in generale, la normativa sulla privacy, vengano applicate in modo corretto alle attività aziendali.
Questo non solo in fase iniziale, in occasione del progetto di adeguamento al GDPR, ma continuativamente: ad esempio l’aggiornamento del Registro dei Trattamenti deve sempre essere raccordato con il contestuale aggiornamento del contenuto delle informative e con la nomina di eventuali nuovi responsabili esterni.

Ricordiamo che il Registro dei trattamenti è un documento fondamentale, il primo che le autorità chiedono di poter visionare quando avviano un’ispezione in azienda. Rappresenta la base dell’accountability, il principio secondo cui non bisogna solo rispettare le regole del GDPR, ma anche essere in grado di dimostrare di attuare i trattamenti di dati a norma di legge. Il Registro dei trattamenti permette di avere sotto controllo tutte le attività legate alla privacy in azienda. Non è sicuro realizzare il Registro dei trattamenti su un normale supporto di videoscrittura: si potrebbero commettere errori, i dati potrebbero essere inseriti in modo incoerente o andare persi. In tali condizioni, la fruizione da parte del DPO delle informazioni di cui necessita potrebbe risultare complessa.

Per semplificare le operazioni si può utilizzare una piattaforma apposita, che consenta al DPO di monitorare rapidamente la privacy aziendale, estraendo con comodità i dati che gli servono e gestendo in maniera automatizzata il versioning. Non solo: una piattaforma aiuta anche a verificare in maniera automatica se l’aggiornamento del Registro è stato effettuato e, altrimenti, segnala che è necessario procedere. Anche attraverso un sistema di workflow, la comunicazione tra i diversi settori aziendali è facilitata, dunque il DPO può essere aggiornato in modo più tempestivo su nuovi trattamenti e attività dell’impresa di cui si occupa. Per poter infatti svolgere correttamente le sue funzioni di controllo il DPO deve essere costantemente tenuto informato sulle novità aziendali (di business, tecnologiche, organizzative, di supply chain ecc.) attraverso periodici “Flussi Informativi”che potranno essere più agevolmente veicolati da una piattaforma software strutturata che non da un disordinato giro di mail.

Riguardo alla realizzazione di informative e alle nomine dei referenti privacy interni all’azienda o dei responsabili esterni, un software GDPR è utile per mantenere la coerenza con i dati contenuti nel Registro dei trattamenti. È importante infatti aggiornare prontamente questi dati a ogni variazione, in accordo con le modifiche apportate al Registro dei trattamenti. Un software sicuramente aiuta a tenere in ordine questa documentazione e ad automatizzare molte procedure, riducendo il lavoro manuale del DPO.

I compiti di verifica del DPO e l’uso di un software GDPR

Oltre al monitoraggio, in azienda le attività di controllo del DPO si concretizzano anche in azioni di verifica. Si tratta di una mansione strettamente legata allo svolgimento di audit, gli accertamenti che vengono fatti in azienda per valutare se tutte le prescrizioni di legge in materia di privacy sono state rispettate. Queste azioni possono essere svolte direttamente dal DPO oppure dalle strutture di internal audit (ove presenti) o da enti esterni che poi consegnano il report al DPO per consentirgli di valutare il risultato. Questi processi possono essere velocizzati attraverso l’impiego di uno strumento informatico, come un software GDPR, che consenta l’automatizzazione di alcuni passaggi. In questo modo, si consente al DPO o a chi svolge l’audit di risparmiare tempo e di effettuare con maggiore comodità l’operazione.

Nello specifico, un software GDPR può aiutare nella definizione di un piano di audit e nella successiva predisposizione di checklist specifiche per ogni verifica da attuare. L’automatizzazione supporta nell’individuare i documenti e i dati necessari cui avere accesso, oltre a identificare gli interlocutori corretti da coinvolgere per ogni specifica richiesta. In seguito, è possibile redigere comodamente il report dell’audit e anche il piano d’azione da attuare per porre rimedio agli aspetti non conformi alla normativa. Inoltre, con un software GDPR è più semplice gestire il follow up dell’azienda, cioè seguirla nel tempo e verificare che abbia ottemperato ai doveri indicati.

P4I – Partners4Innovation

P4I - White Paper - Cruscotto per DPO