Applicare Privacy by design, controlli periodici e accountability GDPR
Il GDPR richiede un presidio continuo della protezione dei dati. Titolare e responsabile del trattamento adottano misure adeguate, le mantengono aggiornate e conservano evidenza delle scelte effettuate in base ai rischi dei trattamenti.
Un sistema interno di governo della privacy aiuta l’organizzazione a coordinare registro dei trattamenti, informative, nomine, contratti con i fornitori, DPIA, sicurezza, data breach, formazione e verifiche periodiche. È un metodo per applicare in modo ordinato il principio di responsabilizzazione previsto dal Regolamento.
Privacy by design e by default
L’articolo 25 del GDPR richiede che la protezione dei dati sia integrata fin dalla progettazione del trattamento e mantenuta durante il ciclo di vita del processo. Per impostazione predefinita devono essere trattati solo i dati personali necessari rispetto alla finalità perseguita, limitando quantità dei dati raccolti, accessi, tempi di conservazione e soggetti che possono consultarli.
Sicurezza adeguata al rischio
L’articolo 32 del GDPR richiede misure tecniche e organizzative adeguate al rischio. Tra queste possono rientrare cifratura, pseudonimizzazione, controllo degli accessi, backup, autenticazione forte, logging, aggiornamenti software, procedure di ripristino e verifiche periodiche sull’efficacia delle misure adottate.
Documenti privacy da coordinare
Il sistema interno dovrebbe mantenere allineati i principali documenti privacy: registro dei trattamenti, informative, istruzioni agli autorizzati, nomine dei responsabili esterni, valutazioni d’impatto, procedure di data breach, policy di conservazione, verifiche sui fornitori e tracciamento delle richieste degli interessati.
Verifiche periodiche e azioni correttive
I controlli ricorrenti devono riguardare trattamenti, strumenti digitali, fornitori, misure di sicurezza e tempi di conservazione. Ogni verifica dovrebbe lasciare traccia delle attività svolte, delle criticità rilevate, delle correzioni adottate e dei documenti aggiornati.
Aggiornamento dei processi digitali
Le procedure privacy vanno riviste quando cambiano attività, tecnologie, software, servizi cloud, canali di marketing, sistemi HR, fornitori o modalità di trattamento. La stessa verifica serve quando vengono introdotti strumenti basati su automazione, profilazione o intelligenza artificiale, perché possono modificare il livello di rischio per gli interessati.
Ruolo del DPO e dei referenti interni
Il DPO, quando presente, può fornire consulenza, sorvegliare l’osservanza del GDPR e contribuire alle verifiche periodiche. La responsabilità delle misure adottate è in capo al titolare o al responsabile del trattamento. Anche nelle organizzazioni senza DPO, l’individuazione di referenti interni aiuta a mantenere aggiornata la documentazione e a coordinare i controlli privacy.