Indice dei contenuti
In questo articolo cercheremo di elencare in modo più o meno dettagliato i compiti principali di cui deve occuparsi il Privacy Officer, uno dei principali profili professionali che operano nell'ambito della protezione dei dati personali all'interno di un'azienda. Negli ultimi anni questa funzione ha innegabilmente acquisito una enorme rilevanza, anche e soprattutto per via dell'adozione del General Data Protection Regulation (più noto come GDPR) a livello europeo, di cui abbiamo parlato diffusamente nella nostra serie di articoli dedicati, e delle conseguenti necessità di adeguarsi ai relativi principi e direttive.
Tuttavia, nonostante l'enorme quantitativo di articoli informativi pubblicato da tutte le riviste specializzate e la necessità impellente di adeguarsi a quanto previsto dalla legge, sono ancora tantissime le aziende che ignorano (e in alcuni casi "fanno finta di ignorare") l'importanza di dotarsi di una funzione del genere, responsabile - come vedremo - di numerose attività anche molto delicate.
Chi è il Privacy Officer
Prima di passare all'elenco delle attività in carico al Privacy Officer (noto anche in italia come Responsabile Privacy o CPO) è opportuno spendere qualche parola per comprendere a quale profilo professionale corrisponde questa figura. La prima cosa da chiarire è che si tratta di una funzione che svolge attività di natura trasversale rispetto ai processi aziendali, in quanto deve avere a che fare sia con il ciclo di vita del dato che con gli aspetti organizzativi, gestionali, tecnologici e legali collegati alle attività svolte dall'azienda: tra questi, particolare rilevanza hanno assunto - specie negli ultimi anni - le competenze relative all'Information Technology, con particolare riguardo a concetti come Autenticazione, Autorizzazione, Encryption e Backup.
Non a caso, nonostante si tratti di un ruolo tradizionalmente svolto da avvocati o comunque da persone aventi un background formativo di tipo legal, negli ultimi anni si è visto un notevole incremento di profili tecnici, come ingegneri gestionali e tecnici informatici, nonché di candidati aventi una formazione collegata al mondo della comunicazione.
Principali mansioni
Ecco dunque un elenco sommario delle attività in carico al Privacy Officer. Per ciascuna di esse abbiamo revisto un "titolo" di una o due parole che ha il compito di riassumerne l'ambito, l'argomento ovvero il contesto di base.
- Manuale Privacy. Assicurarsi che l'azienda disponga di un Manuale Privacy aggiornato che documenti il sistema privacy in uso, comprensivo del presente elenco di mansioni periodiche in carico al responsabile.
- Registro dei Trattamenti. Tenere il Registro dei Trattamenti aggiornato con tutti i clienti e le relative tipologie di trattamento dati legate alle attività aziendali.
- DPIA. Assicurarsi che per tutti i trattamenti di dati che presentano un rischio elevato sia presente una Valutazione di impatto (DPIA) e rischio del trattamento.
- Data Classification. Assicurarsi che tutti i dati trattati in azienda siano stati classificati secondo quanto previsto dalla Data Classification Policy e che non esistono dati classificati erroneamente.
- Data Destruction. Assicurarsi che tutti i dati non più necessari siano stati distrutti o restituiti secondo quanto previsto dalla Data Destruction Policy e che non esistono dati conservati erroneamente.
- Privacy Policy. Assicurarsi che tutti i siti, servizi e applicativi web aziendali contengano una Privacy Policy aggiornata e in linea con le ultime normative vigenti, comprensiva dei recapiti previsti a norma di legge (DPO, responsabile privacy, etc).
- Cookie Policy. Assicurarsi che tutti i siti, servizi e applicativi web aziendali contengano una Cookie Policy aggiornata e in linea con le ultime normative vigenti; verificare inoltre che il sito disponga degli strumenti interattivi volti ad acquisire la conferma di lettura e accettazione da parte dell'utente, ovvero la possibilità di effettuare l'opt-out per tutti o parte dei cookie non obbligatori.
- Autenticazione. Verificare che tutte le procedure di accesso ai sistemi informatici aziendali prevedano l'inserimento di credenziali sufficientemente complesse, con particolare riguardo ai criteri di complessità e scadenza periodica della password secondo quanto previsto dalle ultime normative vigenti; verificare inoltre che tutti i sistemi critici o che consentano l'accesso a informazioni, dati o funzionalità che presentino un rischio elevato prevedano un sistema di autenticazione a due o più fattori (2FA, MFA). Verificare inoltre che tutti gli accessi siano documentati da liste scritte facilmente individuabili, visualizzabili e verificabili, e che tutte le credenziali relative a utenti non più attivi alla data odierna siano state opportunamente decommissionate.
- Autorizzazione. Verificare che tutti gli operatori informatici, sviluppatori e amministratori di sistema possano accedere unicamente alle informazioni necessarie per svolgere la loro attività, secondo il principio di deny by default.
- Information Technology. Nel caso in cui l'organizzazione effettui il trattamento dei dati con strumenti di natura IT (workstation, server, repository in cloud, database, servizi web, etc.), assicurarsi che l'azienda abbia adottato le misure tecniche e organizzative adeguate, come previsto dall'articolo 32 del GDPR e dal principio di accountability, con particolare riguardo a quelle esplicitamente menzionate nel regolamento: la pseudonimizzazione e cifratura dei dati; la capacità di assicurare permanentemente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi; la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati in casi di incidente; una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure.
- Risk Analysis e Assessment. Assicurarsi che sia stata effettuata una Risk Analysis per tutti i progetti aziendali e che tale analisi contenga le opportune valutazioni in ambito privacy; assicurarsi inoltre che tutti i progetti per i quali sia emerso un elevato profilo di rischio in sede di analisi contengano un Risk Assessment Report che documenti le modalità di gestione e mitigazione dei rischi.
- Issue Tracking. Verificare che tutte le eventuali anomalie Privacy e Data Protection siano state opportunamente risolte o gestite dal personale di competenza.
- Contrattualistica. Occuparsi della redazione delle sezioni ovvero allegati relativi agli incarichi e/o alle nomine al trattamento dei dati all'interno dei contratti con clienti, contratti con fornitori, accordi quadro, bandi di gara e qualsiasi altro documento aziendale.
- DPO. Gestire le comunicazioni con il DPO e assicurarsi che le eventuali evidenze risultanti dalle attività del DPO siano opportunamente gestite.
- Documentazione. Assicurarsi che tutta la documentazione privacy aziendale (policy, informative ai dipendenti, informative sul trattamento, moduli privacy, etc.) sia stata aggiornata negli ultimi 12 mesi.
- Training. Assicurarsi che tutti i dipendenti e collaboratori aziendali abbiano effettuato almeno un corso di aggiornamento Privacy e Data Protection negli ultimi 12 mesi e che abbiano compilato la relativa scheda di valutazione; assicurarsi che per il corso sia presente il verbale scritto delle presenze e degli argomenti trattati; assicurarsi che sia in programma un ulteriore corso di aggiornamento, da svolgersi entro i successivi 12 mesi.
Idealmente tutte le attività di cui sopra andrebbero inoltre registrate in un apposito Time Tracker azienzale (o strumento equivalente) in modo da dare al Privacy Officer, nonché all'azienda, la possibilità di dimostrare che il tutto venga gestito in modo periodico e continuativo.
Perché è importante
Come si può vedere si tratta di un mansionario estremamente complesso, che di certo non può essere svolto da un amministratore né tantomeno "delegato" a una funzione che svolga già altre attività. Anche l'ipotesi di affidare questo tipo di incarichi a un consulente esterno o a una società di fornitura, soluzione molto in voga presso alcune realtà aziendali di piccole e medie dimensioni (PMI), risulta alla pratica dei fatti difficile da attuare all'atto pratico, visto che si tratta di attività che richiedono un know-how aziendale molto forte e un interfacciamento costante con le principali funzioni interne all'azienda: dalla business unit alla logistica, dall'amministrazione ai servizi generali, dalle operations al delivery, dall'ufficio del personale all'ufficio legale, per non parlare del rapporto costante con dipendenti, clienti e fornitori.
Alla luce di tutti questi fattori, la soluzione preferibile per la maggior parte delle aziende è quella di dotarsi di un ufficio privacy interno, composto da un Privacy Officer (tipicamente un funzionario) che si occupa del coordinamento delle attività e un numero di Privacy Specialist (dipendenti o consulenti) commisurato alle dimensioni dell'organizzazione e alla mole di dati oggetto del trattamento. Questo approccio ovviamente non esclude la possibilità che, in realtà molto piccole e dove il trattamento di dati personali non costituisce un elemento business-critic, l'intero ufficio possa essere condotto da una singola persona... Ma si tratta di situazioni altamente residuali, considerando i numerosissimi obblighi di legge previsti dal GDPR e i rischi connessi a una errata o non corretta gestione di questi dati. Inutile dire che, per realtà molto grandi, può essere vero anche il contrario: una molteplicità di Privacy Officer, magari relativi a ciascuno degli stabilimenti produttivi o sedi aziendali, coordinati da un Chief Privacy Officer (CPO) avente funzioni strategiche e dirigenziali.
Conclusioni
Per il momento è tutto: ci auguriamo che questo elenco possa essere d'aiuto non soltanto ai Privacy Officer alle prime armi, ma anche e soprattutto agli amministratori delegati e ai dirigenti delle aziende che non si sono ancora dotate di questa figura fondamentale per comprendere l'importanza di compiere questo passo prima che sia troppo tardi.
Hai bisogno di organizzare un corso per te o per la tua azienda? Consulta il programma del nostro Corso di Formazione su GDPR e Privacy e/o chiedici un preventivo senza impegno!