L’IMPORTANZA DELLE PROCEDURE ISO NELLA COMPLIANCE CON IL GDPR.

RUOLI E RESPONSABILITA’.

Parte prima: la centralità del dato.GDPR

La presente rubrica ha l’obiettivo di evidenziare l’importanza delle procedure ISO nella compliance con il Regolamento UE 679/2016 alias GDPR.

Considerato che esiste un numero significativo di requisiti relativi al GDPR, è importante comprenderne la portata e le loro implicazioni rispetto a ciascuna organizzazione al fine di implementarli nel relativo contesto. Tale implementazione richiede uno sforzo dedicato, equivalente a quello necessario per sviluppare un progetto.

A tal fine, nell’interpretazione del GDPR, da giurista affiancata da tecnici esperti in gestione aziendale e qualità, parto dai principi fissati nell’art. 5 del Regolamento che rappresentano la base su cui imperniare il ciclo di vita del dato all’interno di ogni organizzazione aziendale e che possiamo sintetizzare come segue:

  • acquisizione del dato
  • trattamento del dato (così come previsto dal GDPR)
  • conservazione del dato
  • cancellazione del dato

Attraverso questa analisi metodologica è possibile capire quali siano i temi fondanti su cui il legislatore europeo ha inteso porre l’accento.

E’pleonastico, nell’era dei Big Data, ribadire che il dato risulti essere di fondamentale importanza. Ma muovendo da questo assunto, apparentemente ovvio, vediamo come il GDPR vada più in profondità fino a fondere il valore del dato all’interno di ciascuna organizzazione aziendale, sia essa pubblica che privata, con la tutela dei diritti e delle libertà delle persone, per basarsi su alcuni principi funzionali – quali i dati e i trattamenti – al fine di garantirli.

Ne discende che sarebbe opportuno adottare delle procedure che consentano di gestire correttamente il dato durante il suo ciclo di vita all’interno dell’azienda.

In buona sostanza, quindi, i principi stabiliti dal GDPR hanno una relazione diretta rispetto al dato e mediata rispetto alle operazioni di trattamento.

Ecco perché il dato è centrale e richiede che sia costantemente curato rispetto ai principi fissati nell’art. 5 del GDPR (liceità, correttezza, trasparenza, minimizzazione, limitazione della conservazione, esattezza e sicurezza).

A ciò aggiungasi che il GDPR prevede, all’art. 5, un ulteriore principio: il principio di responsabilizzazione. In virtù di tale novità introdotta col GDPR il titolare del trattamento dei dati personali è competente – responsible – per il rispetto degli altri principi previsti dallo stesso articolo e deve essere in grado di comprovarlo.

In definitiva, predisporre delle regole, valutate con il supporto di professionisti, consente al responsabile di meglio monitorare come i vari attori della privacy trattino il dato e dare, in tal modo, l’evidenza della volontà e dell’impegno di gestire correttamente i dati e non di limitarsi ad una mera attività formale di “modifica dell’informativa”…

Il modo migliore per rispettare questo principio, soprattutto per le grandi organizzazioni, è quello di individuare un professionista specifico per curare il suddetto ciclo di vita del dato: il data manager, appunto.

Dalla centralità del dato scaturisce, dunque, la necessità di una figura all’interno di ogni organizzazione che è il data manager, ovvero il professionista esperto al quale viene affidata l’amministrazione ordinaria del dato attraverso l’applicazione dei principi di privacy by design e privacy by default, previsti dal GDPR.

In questo modo il data manager ha il compito di garantire che il ciclo di vita del dato sia effettuato secondo criteri di qualità e, per l’effetto, conformi alle previsioni di normative cogenti e di standard internazionali; il data manager ha, altresì, la funzione di garantire che l’azienda sappia rispondere ai diritti degli interessati e, al tempo stesso, sappia tutelarli, evitando di incorrere nelle sanzioni previste dal GDPR.

Fatte queste debite premesse, molte aziende si sono affrettate nell’individuare il  DPO (Data Protection Officer), il responsabile del trattamento e nel cercare di capire quali fossero i nuovi adempimenti per essere conformi al GDPR. Ma la sostenibilità nel tempo della compliance al GDPR presuppone, non solo la presenza del data manager, quanto piuttosto la sua esatta collocazione all’interno dell’organizzazione aziendale e la definizione del suo rapporto con le altre figure (siano esse obbligatorie o facoltative).