Compliance privacy: il decalogo degli adempimenti più importanti

La compliance privacy rappresenta un argomento complesso in quanto poliedrico. Sul piano teorico può riassumersi come quell’insieme di attività che consentono ad un’impresa di conformarsi alle norme. Ma quali norme? Nel settore della privacy vi sono disposizioni la cui applicazione è volontaria ed altre la cui applicazione è obbligatoria. Alcune di queste costituiscono precetti la cui violazione può comportare gravi sanzioni in capo all’organizzazione (pensiamo alla mancata nomina del DPO). Altre, seppure non prevedano sanzioni, possono comunque portare ad una perdita.



Come gestire la compliance in ambito privacy? 

Quali adempimenti privacy sono obbligatori e quali facoltativi?

Doveri d’impresa

Le regole che caratterizzano la gestione d’impresa rappresentano un quadro sempre più ampio ed in continuo aggiornamento. Norme in materia di sicurezza sul lavoro, di tutela ambientale, di qualità gestionale, di anticorruzione e prevenzione dei reati, di sicurezza informatica, permeano le diverse funzioni aziendali. La privacy rappresenta uno di questi pilastri, a fondamento della compliance aziendale. 

Oltre ad essere un obbligo normativo, la compliance può anche essere vista come un modo per incrementare la competitività dell’impresa nell’ottica del miglioramento continuo, un dovere d’impresa scelto dall’imprenditore, che decide di autoimporsi regole per sviluppare la gestione e l’efficienza dei processi, l’organizzazione interna, la sicurezza fisica ed informatica e la privacy. 

In alcuni settori, ad esempio, la designazione del responsabile della protezione dei dati (il “DPO”, acronimo di “Data Protection Officer”) è obbligatoria; in altri è su base volontaria. In entrambi i casi, tuttavia, la presenza di una figura di riferimento, che funge da punto di contatto per gli interessati nella gestione delle tematiche privacy, è vista dal cliente come garanzia di affidabilità e criterio per orientare le proprie scelte di business. 

Ma come si gestisce il complesso di precetti normativi e di regole auto-imposte?

Rischi d’impresa

Nel complesso di norme o di regole auto-imposte, l’imprenditore, si fa carico, quotidianamente, di:

  • Rischi finanziari, economici, di mercato e legati al credito; 
  • Rischi relativi al rapporto con amministrazioni pubbliche, ad autorizzazioni, a questioni burocratiche;
  • Rischi derivanti dal contesto geografico e dalla situazione geopolitica;
  • Rischi legati alla sicurezza fisica dei lavoratori e alla sicurezza informatica dell’impresa; 
  • Rischi relativi ai flussi di dati, contabili, finanziari, industriali e, soprattutto, personali.

Tutti questi elementi limitano l’imprenditore, il quale dovrà necessariamente trovare il modo per concentrarsi sui principali obiettivi economici dell’impresa. 

Ecco che entra in gioco la funzione compliance. Questa funzione valuta le regole da imporre all’organizzazione per la gestione del rischio. Le regole, se applicate con intelligenza e senza imbrigliare l’azienda in inutili adempimenti, consentono di prevenire il verificarsi dei rischi calcolati e, al tempo stesso, di far risparmiare tempo all’imprenditore. 

La funzione compliance

Risulta quindi essenziale, in primo luogo, che l’organizzazione si doti di una specifica funzione compliance, che consenta di orchestrare la gestione delle regole, al fine di prevenire e ridurre i rischi di natura giuridica, finanziaria e reputazionale, derivanti dalla violazione di leggi e regolamenti, norme aziendali e norme sociali. Il compito principale della funzione compliance è proprio quello di gestire i rischi che, per definizione, sono connaturati all’impresa.

Per garantire il corretto andamento di tale funzione, la stessa dovrebbe essere:

  • formalmente indipendente rispetto alle altre aree operative aziendali;
  • organizzata in modo tale da poter operare in sinergia con le altre funzioni, mantenendo al tempo stesso le funzioni proprie dell’attività di controllo;
  • dotata di personale esperto, con caratteristiche idonee in termini di professionalità e indipendenza;
  • dotata di un soggetto responsabile o, meglio, coordinatore.

Compliance Officer e DPO

La funzione compliance, infatti, dovrebbe essere guidata da un “compliance officer”, dotato di competenze traversali, giuridiche e gestionali, che gli consentono di coordinare l’applicazione delle norme nei vari settori dell’impresa. Tale figura, in termini di posizione, compiti e soft skills, può essere paragonata a quella del DPO. 

Entrambi, infatti, devono: 

  • poter interloquire direttamente con i vertici gerarchici dell’organizzazione;
  • essere dotati di autorevolezza, che permetta loro di agire nelle sedi decisionali della società e di assicurarsi che le questioni di conformità siano tenute in considerazione nell’assunzione delle principali scelte imprenditoriali;
  • essere dotati di capacità diplomatica e persuasiva;
  • essere dotati di flessibilità e di capacità di problem solving, per potersi adattare alla gestione di nuovi rischi, minacce e obblighi;
  • coinvolgere, educare e formare il personale delle altre funzioni.

Non sempre l’impresa è obbligata per legge a designare un compliance officer, così come non sempre è obbligata a designare un data protection officer, tuttavia queste figure consentono all’organizzazione di avvicinarsi verso un duplice traguardo: il raggiungimento della conformità normativa e dei propri obiettivi fondamentali, in termini di immagine, affidabilità, performance, etc.

Compliance e accountability

Seppure la funzione compliance, con il presidio del compliance officer, consenta di governare i principali rischi d’impresa, non bisogna pensare di relegare interamente la gestione a questo ramo autonomo della azienda. L’idea di compliance dovrebbe infatti radicarsi nell’intera struttura organizzativa, così come l’idea di “responsabilizzazione” o “accountability”. 

I due concetti, infatti, vanno di pari passo: un imprenditore, titolare del trattamento dei dati, attento alla compliance, molto probabilmente avrà scelto di introdurre delle misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali effettuato dalla sua organizzazione è conforme al Regolamento europeo in materia di protezione dei dati personali (GDPR).

Quali sono le principali misure raccomandate nell’ottica di accountability? 

Ecco il decalogo degli adempimenti fondamentali:

  1. Realizzare sempre il registro delle attività di trattamento, a prescindere dalle dimensioni dell’impresa. Garantirne il costante aggiornamento (con l’ausilio della funzione compliance o di un “team privacy” e con il supporto di consulenti esperti);
  2. Nominare un DPO (una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del GDPR). Lo stesso regolamento, infatti, non esclude la possibilità di designare il DPO su base volontaria, ad di fuori dei casi previsti. Il Gruppo di lavoro “articolo 29” (WP29) incoraggia gli approcci di questo genere;
  3. Ottenere una certificazione allo scopo di dimostrare la conformità al regolamento o aderire ad un codice di condotta;
  4. Dotarsi di procedure e di misure per garantire il rispetto dei principi di privacy by design e di privacy by default;
  5. Dotarsi di procedure e di misure per garantire il rispetto dei diritti degli interessati e per la gestione di eventuali istanze privacy;
  6. Dotarsi di procedure e di misure per la corretta gestione di eventuali data breaches (violazioni di dati personali);
  7. Dotarsi di procedure di gestione dei processi per ciascun ufficio, che siano compatibili ed integrate con le procedure privacy (ad es., la procedura relativa all’ufficio HR dovrebbe prevedere i documenti privacy da rilasciare al momento dell’assunzione, quali informative, policy ed istruzioni funzionali);
  8. Assicurarsi che sia presente un disciplinare interno, che regoli, in particolare, il corretto utilizzo nel rapporto di lavoro della posta elettronica e della rete Internet;
  9. Dotarsi di misure di sicurezza tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. Questa misura è obbligatoria, tuttavia la valutazione è in capo alla discrezionalità del titolare del trattamento, sulla base dei criteri forniti dal GDPR. Il consiglio è quello di abbinare a queste misure delle policy o un vademecum IT, in modo da poter dimostrare, in caso di controlli o ispezioni, l’effettiva responsabilizzazione;
  10. Assicurarsi che il personale:
  • sia al corrente di tutte le procedure realizzate dall’organizzazione, 
  • sia stato adeguatamente istruito sulle modalità di trattamento dei dati in base all’ufficio di appartenenza e alle relative mansioni,
  • sia stato adeguatamente sensibilizzato sui rischi derivanti da tali attività di trattamento e sulle misure per prevenire ed evitare il verificarsi di violazioni.

Chiaramente queste sono solo alcune delle misure di accountability fondamentali per l’organizzazione, per garantire il rispetto del GDPR ed evitare il rischio di incorrere in sanzioni. Il titolare deve assicurarsi che tutte le procedure, policy, informative, istruzioni funzionali, nomine, siano costantemente mantenute aggiornate (la privacy non è un adempimento una tantum), così come deve poter dimostrare di aver adeguatamente formato il personale.

Certificazioni, attestati dei corsi di formazione, esiti di audit e report di conformità, sono solo alcune delle prove documentali che permettono all’azienda di dimostrare la compliance.

Per garantire l’applicazione dei principi dell’accountability e assicurarsi idonei livelli di compliance privacy all’interno dell’organizzazione, potrebbe essere utile una valutazione preliminare. Richiedila gratuitamente agli esperti privacy e data protection di Labor Project.

Compliance come visione d’impresa

La compliance dovrebbe quindi far parte di una cultura aziendale della legalità rispetto ai principi posti a tutela delle persone e dei dati personali, dell’ambiente, della concorrenza e del mercato. Prima di tutto si tratta di una scelta di politica aziendale fatta dall’imprenditore, di rendere la propria organizzazione più attraente, moderna, efficiente, attenta all’ambiente e al rispetto delle regole; scelta che dovrebbe rendere l’organizzazione più competitiva, mediante l’applicazione di best practices ed esempi virtuosi, e garantirne la crescita in sicurezza. 

Ti interessa capire il tuo livello di compliance privacy? Mettiti in contatto con noi per ottenere una valutazione preliminare gratuita, senza impegno. 

Labor Project fornisce consulenza d’impresa e formazione, attraverso un pool di professionisti specializzati nell’applicazione delle principali normative privacy. Scopri i diversi ambiti di applicazione e i nostri servizi di compliance privacy.

L’applicazione dei principi cardine della normativa in materia di privacy e data protection comincia sempre dalla formazione del personale. Scopri i principali ambiti formativi per sviluppare una cultura di compliance GDPR, di sicurezza delle informazioni e privacy.

Se ti è piaciuto l'articolo condividi: