GDPR compliant: come monitorare la compliance in azienda

Da quando il Parlamento Europeo ha approvato il GDPR (General Data Protection Regulation), le aziende della comunità europea hanno incominciato a prestare maggiore attenzione al tema del rispetto delle politiche di trattamento dei dati personali degli utenti.

In particolare, i cosiddetti processi di monitoraggio della compliance sono diventati più rigorosi. Del resto, bisogna fare i conti con normative sia comunitarie che nazionali in continuo mutamento. Monitorare la compliance per un’azienda significa eseguire periodicamente dei controlli per verificare se le procedure aziendali sono svolte nel rispetto delle normative vigenti e delle policy interne. Andiamo a vedere, nello specifico, cosa s’intende per compliance e in che modo è possibile effettuare un monitoraggio costante nel tempo.

Il concetto di compliance nella GDPR

Compliance è un termine derivante dalla lingua inglese che in italiano vuol dire conformità. Dunque, il concetto di compliance si riferisce alla necessità di rispettare una serie di regole. Un discorso che vale sia nella società civile ma anche e soprattutto nel business e che coinvolge tutti, non soltanto i dipendenti di un’organizzazione ma anche dirigenti, manager e imprenditori.

Compliance significa, quindi, aderire ad una regola, uno standard e, in molti casi, ad una legge. A livello aziendale, ogni organizzazione dovrebbe essere dotata di un piano di compliance interno che definisce gli obiettivi da raggiungere in questo delicato e particolare ambito.
Il concetto di compliance, nei contesti aziendali, si lega direttamente a quello di governance aziendale, ossia quel mix di norme, pratiche e regole di buona condotta che costituiscono gli asset fondamentali di un’impresa. Non a caso, l’obiettivo principale della governance aziendale è garantire che l’azienda operi nel pieno rispetto delle leggi, applicando i principi di responsabilità, equità e trasparenza nei rapporti istituzionali e commerciali con i principali stakeholder.

Per fare in modo che sia garantito il rispetto dei requisiti di conformità, ogni azienda dovrebbe avere un responsabile dell’area compliance. In Italia, data l’ampia presenza di imprese di piccola o micro-dimensione, non sempre le aziende assumono direttamente un responsabile compliance. Spesso, si preferisce esternalizzare la gestione di questo reparto, affidandolo a professionisti o studi legali terzi.

Accountability e Compliance: due concetti chiave

Uno dei sette principi inclusi dal GDPR quali punti di riferimento per la protezione dei dati è il principio di accountability. Potremmo tradurre questo termine in italiano appoggiandoci al concetto di responsabilità. Il principio di responsabilità richiede che i titolari e i responsabili del trattamento agiscano con responsabilità rispetto alle attività di trattamento e alle condotte poste in essere, in ottemperanza ai principi di protezione dei dati.
Il GDPR chiarisce, dunque, che il rispetto di quanto previsto dalla normativa fa capo principalmente alle figure del titolare e del responsabile del trattamento ai quali spetta il compito di dimostrare la conformità del trattamento stesso.

Quindi, se da un lato essere responsabili significa avere un modus operandi proattivo ed organizzativo in materia di protezione dei dati, dall’altro c’è la necessità di riuscire a dimostrare la conformità presentando prove concrete delle misure adottate ai fini del raggiungimento degli obiettivi di compliance.
Le aziende di ogni livello e dimensione dovrebbero, dunque, lavorare sodo per contribuire alla nascita e allo sviluppo di una vera e propria cultura per la protezione dei dati. Il responsabile del reparto Compliance dovrebbe preoccuparsi di eseguire periodicamente monitoraggi e mettere in atto procedure approfondite di valutazione dell’operato di manager e dipendenti.

Come monitorare la compliance nel tempo

Quando si progetta un piano di monitoraggio della compliance è importante assicurarsi che esso sia completo. Il piano deve, infatti, coprire totalmente i rischi di conformità che i vari reparti aziendali devono affrontare, insieme alle misure da mettere in atto per affrontarli. Chiaramente, il piano di monitoraggio deve essere calibrato in base alle dimensioni, alla complessità, alla tipologia di attività imprenditoriale nonché al quantitativo di rischi da affrontare. Va definito un programma di valutazione nonché la frequenza di svolgimento del monitoraggio e le modalità scelte per le azioni di monitoraggio.

Inoltre, prima di creare un piano compliance, è essenziale eseguire un audit completa dei rischi che ogni giorno l’organizzazione affronta. Ottenere un quadro chiaro e completo del profilo di rischio fornirà al piano di monitoraggio una solida base e garantirà che non vi siano lacune nelle aree da analizzare.
Oltre ad essere di vasta portata, il piano dovrebbe essere ponderato per concentrarsi maggiormente sulle aree a più alto rischio. In questo modo, le risorse, sia finanziarie che umane, possono essere destinate ai settori in cui il rischio è maggiore e nei quali le potenziali implicazioni di una mancata conformità sono maggiormente significative.
Documentando l’esistenza di un processo, il monitoraggio può aiutare un’organizzazione a dimostrare la correttezza delle procedure e l’attenzione costante rispetto al delicato tema della compliance.