Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

trattamento dati

Data governance nel GDPR con strumenti regtech: i vantaggi

La conformità al GDPR impone una gran quantità di adempimenti complessi e di carattere autovalutativo. Ecco perché è necessario considerare la conformità come un insieme sfumato e continuo di valori, che richiede flessibilità e rapidità d’intervento e perché è utile usare uno strumento tecnologico “regtech”

05 Set 2018

Maria Roberta Perugini

avvocato, esperta di privacy e diritto delle nuove tecnologie, contributrice di europrivacy.info


Uno strumento tecnologico “regtech” di data governance aiutare le aziende alle prese con il GDPR. Vediamo quali e come sfruttarli.

I vantaggi delle applicazioni regtech in ambito GDPR

In generale, l’uso di questi strumenti in settori fortemente regolamentati offre la possibilità di coniugare la solidità e l’approfondimento di una implementazione su misura con la flessibilità necessaria per soddisfare le esigenze di rapido aggiornamento.

Il GDPR, a causa delle sue caratteristiche, costituisce un esempio ideale di normativa alla cui implementazione l’uso di strumenti regtech apporta un importante valore aggiunto.

Infatti, come noto la norma generale di responsabilità introdotta con il GDPR (l’accountability, art. 24 GDPR) ha spostato sul titolare del trattamento l’onere del giudizio di bilanciamento tra i diritti fondamentali che interagiscono ed entrano in conflitto in occasione di un trattamento di dati personali.

Così, ai soggetti attivi del trattamento oggi la normativa assegna obiettivi generali: la progettazione, attuazione e controllo del trattamento nell’ottica della prevenzione adeguata ed efficace del rischio di violazione dei diritti degli interessati e la capacità di dimostrare che il trattamento attuato è conforme alle norme (art. 5, co. 2 e 25 GDPR).

Non vengono definite regole precise per definire la conformità, non ci sono checklist di riferimento, ma al titolare è richiesto di autodeterminarsi, sviluppando un autonomo percorso di compliance dinamica, costruita “su misura” e destinata ad implementazione nel continuo, di cui una componente è l’essere in grado di dimostrare che il trattamento è conforme alle norme.

Titolare del trattamento e data governance

Insomma, è stato creato un sistema che induce il titolare ad una efficace data governance: ad individuare e adottare misure che offrano una reale protezione nella pratica, tarate sulla propria realtà di trattamento, con particolare attenzione al rischio proprio di quel determinato trattamento e alla natura dei dati da proteggere.

Di fatto, dunque, la normativa impone una grande quantità di adempimenti complessi e di carattere strettamente autovalutativo.

E non solo: bisogna considerare che alla complessità intrinseca del GDPR si aggiunge quella della complessiva normativa privacy, che oltre al GDPR comprende – ad esempio – i provvedimenti dell’Autorità Garante, per non parlare delle parti residue del Codice Privacy e delle leggi che interagiscono con questi temi, sia nazionali (ad es. il telemarketing) sia europee (ad es. il prossimo Regolamento e-privacy, che andrà a regolare tutto il settore della privacy nelle comunicazioni elettroniche).

Valutazione dei rischi e azioni di adeguamento

È quindi palese che sia chi è chiamato a conformarsi al GDPR sia chi effettua le verifiche può incontrare serie difficoltà non solo a definire il livello di conformità raggiunto, ma anche a garantire coerenza e ripetibilità delle analisi di cruciali processi di attuazione del trattamento, quali (ma non solo) quello di valutazione dei rischi e quelli di selezione e implementazione delle azioni di adeguamento.

Inoltre, il continuo richiamo della normativa all’obbligo che i Titolari siano in grado di dimostrare la loro conformità implica la necessità di predisporre un imponente apparato documentale costituito da policy, procedure, contratti, designazioni, informative, evidenze dei controlli effettuati, che contengono tutti informazioni di cui si deve garantire la reciproca coerenza.

La corretta gestione della privacy in ottica GDPR presuppone dunque innanzitutto l’assunzione di consapevolezza della entità e qualità dei processi di trattamento gestiti dall’azienda, sia come titolare (ossia, trattamenti che opera per proprie finalità) sia come responsabile di terzi titolari (ossia, trattamenti che svolge come fornitore di servizi).

Su questa base, il primo passo da compiere è l’avvio di attività preparatorie in termini di valutazione dell’impatto del GDPR sull’operatività aziendale, a supporto dello sviluppo di un piano di implementazione e di una approfondita valutazione delle risorse da stanziare.

Coniugare aspetti legali e soluzioni tecniche

Bisogna insomma sapere coniugare aspetti legali e possibili soluzioni tecniche ed organizzative, per essere in grado di:

  • mappare le caratteristiche degli attuali trattamenti e il modello di gestione attuato, dal triplice punto di vista organizzativo (processi e prassi, anche per la sicurezza), giuridico (ad esempio: contrattualistica con i responsabili, deleghe interne, individuazione della base giuridica dei trattamenti) e tecnico informatico (con riguardo alla complessiva architettura informatica aziendale che ha impatto sui trattamenti di dati personali), ma anche esaminando le certificazioni e gli accreditamenti in essere e le conseguenti azioni intraprese, che possono essere utilmente riutilizzati in sede di implementazione del GDPR;
  • identificare gli interventi necessari, assegnando le relative responsabilità;
  • valutare il gap esistente tra il complessivo modello di gestione privacy in uso e la richiesta del GDPR: ossia misurare lo stato di fatto in un’ottica di accountability e privacy by design e by default;
  • definire gli obiettivi aziendali di conformità (compresa la strategia di gestione dei rischi di non conformità), naturalmente operando anche l’analisi dei rischi e se necessario eseguendo la DPIA;
  • individuare le priorità di intervento;
  • pianificare ed ottimizzare gli interventi anche in rapporto ai relativi costi e con una prospettiva che ne copra l’intero ciclo di vita;
  • misurare e dimostrare se e quanto le iniziative hanno portato i risultati attesi (documentare la conformità).

Tutto questo richiede un approccio multidisciplinare (legale, governance, tecnico, organizzativo), con l’obiettivo di definire un unico schema integrato di implementazione del GDPR che l’impresa possa attuare nel continuo in un contesto di autonomia.

Infine, il piano predisposto dovrà essere condiviso e approvato nel contesto aziendale, per poi predisporre il modello di gestione privacy definitivo e cominciare ad attuarlo.

Come garantire che la conformità permanga nel tempo

Ma la conformità al GDPR è strutturata in modo dinamico ed è destinata ad implementazione nel continuo. Pertanto, per essere conformi non basta definire e predisporre una tantum le misure necessarie all’adeguamento, ma bisogna garantire che la conformità permanga nel tempo: ciò implica che il sistema predisposto sia flessibile, capace di adattarsi ai mutamenti che possono intervenire sia nell’attività di trattamento aziendale sia nella normativa o magari nello stato della tecnica.

Per raggiungere questo scopo, bisogna definire un piano di mantenimento dei livelli di capability maturity individuati (ad esempio prevedendo test, processi e modalità di verifica periodica tanto delle variazioni legislative quanto dei processi aziendali) e nel contempo prevedere misure per la verifica e il controllo costante dell’effettivo rispetto del modello che si è prefigurato, mediante audit interni ed esterni.

Infine, è buona prassi definire anche un piano per la reportistica, utile a dimostrare la conformità: ribadisco infatti che la formalizzazione documentale dei criteri adottati per la conformità nello specifico contesto di trattamento e la loro traduzione in ulteriori documenti operativi (best practice e procedure) consente di rispondere all’obbligo di fornire evidenza delle misure tecniche e organizzative adottate, con la conseguenza di mitigare il rischio di sanzioni e di favorire la difesa da richieste di risarcimento danni.

La difesa in giudizio infatti è basata sulla prova dell’esistenza dei passaggi (analisi, progetti, azioni) che hanno caratterizzato la costruzione e l’attuazione continuativa del proprio personale percorso di conformità alle norme e sulla dimostrazione delle relative logiche e della loro coerenza con i fini di sicurezza e protezione dei dati: è pertanto essenziale che la relativa documentazione sia costantemente aggiornata e rispecchi in modo esatto e completo tutti i processi, le misure e le azioni progettati e attuati per la conformità, compresi i controlli.

Tempi di conservazione dei dati, le criticità

Un buon esempio concreto della complessità dell’attuazione di un percorso di conformità efficace è costituito dal tema dei tempi di conservazione dei dati personali: il GDPR chiede infatti di predefinirlo, sia per garantire il rispetto del principio di necessità sia per poterlo rappresentare all’interno dell’informativa.

Ma la definizione di questo tempo dipende da diversi elementi, tra cui innanzitutto la finalità del trattamento. Ad esempio, se la conservazione del dato è legata ad un obbligo di legge, il relativo tempo sarà probabilmente determinato dalla legge stessa, oppure dai termini di prescrizione.

Ci sono però settori, come quello bancario, in cui decine di leggi regolano diversamente i tempi di conservazione dei documenti (non dei dati, ma giocoforza vi sono sottoposti i dati contenuti nei documenti), in funzione del momento della loro creazione (ad esempio per adempimenti civilistici e fiscali) o della chiusura del rapporto (ad esempio per i conti correnti o i mutui). Intervengono poi anche normative speciali, come quella di contrasto all’usura, che portano a variare ulteriormente i tempi di conservazione.

Di conseguenza, quello della predeterminazione dei tempi di conservazione dei dati personali è un processo assai complesso.

In aggiunta, una volta individuati è altrettanto complesso attuare azioni idonee a rispettarli: i dati sono infatti presenti sul sistema informativo del titolare (in forma strutturata e destrutturata), sui sistemi informativi dei vari outsourcer, sulle varie copie di backup, sui data center che garantiscono la continuità operativa di tutti questi soggetti. Sono inoltre presenti su supporti analogici, quali documenti cartacei che non possono essere interamente dematerializzati (si pensi a documenti di decine di anni fa).

Tempi di conservazione diversi per diverse finalità di utilizzo

Inoltre, lo stesso dato può essere utilizzato per finalità diverse: in tale caso, qualora sia replicato in archivi separati per ogni finalità, sarebbe possibile cancellarlo alla fine del periodo di conservazione individuato, ma qualora invece sia conservato in un unico database da cui si attinge per tutte le finalità (magari per garantire la coerenza dei dati in un’ottica di aggiornamento), dovrebbe esserne inibito l’uso per le singole finalità per cui di volta in volta si è concluso il periodo di conservazione.

Dunque, è necessario stabilire regole diverse e organizzare azioni e misure diverse in funzione della diversa modalità di conservazione del dato personale.

Poi, in fase di verifica della conformità è necessario valutare se il tempo di conservazione determinato e documentato dall’impresa titolare e poi dichiarato nella informativa corrisponde a quanto effettivamente implementato nella realtà: anche in questo caso gli elementi da presidiare sono molteplici.

Questo controllo richiede, per esempio, un’accurata mappatura dei sistemi informativi che deve giocoforza essere condotta da esperti, richiede magari molto tempo e non garantisce la coerenza e ripetibilità delle analisi svolte: la volta successiva le stesse analisi vengono magari svolte in modo diverso, con il rischio di valutare in modo differente situazioni simili, e quindi di sperequazione.

Ancora più articolata è poi la verifica di ambiti che, a differenza dei tempi di conservazione, non godono di specifica regolamentazione, come oggi quello delle misure di sicurezza: in questo contesto, in cui l’iter di selezione e implementazione delle misure più adatte è libero, in fase di verifica sarà necessario innanzitutto analizzare quale sia stato il processo che ha portato a determinate scelte, quali gli attori coinvolti, chi ha deciso in merito ai rischi assunti.

Una visione olistica di normative e strumenti

Per tutto questo, per assumere decisioni, implementare le azioni, documentare i processi, garantire coerenza d’insieme e ripetibilità nell’ottica della conformità nel continuo, è necessaria innanzitutto una visione olistica e continuamente aggiornata tanto della normativa quanto degli strumenti utilizzabili (giuridici, tecnici e organizzativi).

È chiaro quindi che in un’ottica – come quella descritta – di compliance dinamica non è più possibile pensare ad una visione rigida della conformità (si è conformi o non si è conformi), ma è necessario considerare la conformità come un insieme sfumato e continuo di valori, che richiede visione d’insieme, flessibilità e rapidità d’intervento.

Nello stesso tempo, dall’importanza degli obiettivi (cioè la protezione dei diritti e libertà fondamentali delle persone fisiche) e dalla gravità delle conseguenze del fallimento nel raggiungerli (sanzioni, inibitorie, risarcimenti ecc.) emerge la necessità di gestire in modo rigoroso questa conformità sfuggente.

Quindi, sia dal punto di vista del soggetto attivo del trattamento sia da quello di chi effettua le verifiche, è molto importante avere il supporto di uno strumento capace di rappresentare la continuità – ossia di esprimere la contemporanea appartenenza di un elemento a insiemi diversi e con diversi gradi di appartenenza – che dia supporto nella implementazione degli adempimenti richiesti, nella loro gestione nel continuo, nelle relative verifiche di conformità (anche interne).

@RIPRODUZIONE RISERVATA

Articolo 1 di 4