Due diligence e gap analysis: presupposti per realizzare livelli elevati di compliance privacy in azienda

Un Consulente Privacy o un Privacy Officer, nel momento in cui assume il proprio incarico, è chiamato a verificare se l’organizzazione che lo ha designato disponga di un sistema di gestione della privacy, adeguatamente documentato in un MOP (Modello Organizzativo Privacy), e se tale sistema sia sufficientemente robusto da garantire la conformità ai requisiti di compliance stabiliti dal GDPR.

In mancanza di un MOP adeguato, Egli dovrebbe, invece, rilevare e valutare l’effettivo, attuale livello di compliance e registrare il divario con un livello di compliance desiderabile/raggiungibile. Questo processo è definito “gap analysis” ed è prodromico alla definizione di una road map cioè un piano d'azione dettagliato e sequenziale finalizzato all'implementazione di miglioramenti tangibili e quantificabili.

Il concetto di responsabilità

Il GDPR attribuisce il ruolo privacy di titolare del trattamento all’organizzazione o all’entità che, determinando finalità e mezzi di uno o più trattamenti, progetta e implementa un sistema di elaborazione di dati personali. Ora, secondo il senso comune, colui che costruisce un sistema per realizzare obiettivi dovrebbe anche assumersi la piena responsabilità della gestione del sistema che ha costruito.

Questo è quanto ci ricorda un suggestivo aforisma che Antoine de Saint-Exupéry riporta nel “Piccolo Principe”, secondo il quale diventiamo responsabili per sempre di ciò che abbiamo addomesticato. In tale quadro, risulta pienamente comprensibile la centralità che il GDPR attribuisce alla figura del titolare del trattamento. Si tratta, peraltro, di una centralità operativa.

Il Considerando 74 del GDPR stabilisce la “responsabilità generale” del titolare per tutti i trattamenti da lui eseguiti:

- sia all’interno della sua organizzazione, attraverso il personale dipendente “autorizzato al trattamento”,

- sia all’esterno del suo contesto organizzativo, da altre entità che trattano dati personali, per suo conto, rivestendo il ruolo di “responsabili del trattamento”.

Il titolare del trattamento è quindi chiamato a gestire la sua responsabilità generale, esercitando il pieno controllo di tutte le attività di elaborazione dei dati personali. La gap analysis è prodromica alla definizione di una road map per la compliance GDPR. Non è quindi un caso se questo ruolo privacy, così centrale, nella versione inglese del GDPR è definito “Controller”.

Sfumature concettuali

Per la verità, la versione inglese del GDPR consente di cogliere diverse sfumature concettuali che non sono identificabili nella versione in lingua italiana.

Così, ad esempio si scopre che la formula "responsabilità generale” riportata nel citato Considerando 74 è la traduzione in italiano della locuzione "responsibility and liability", che sta indicare come la responsabilità del titolare sia, non solo generale, ma anche multidimensionale, potendo essere declinata in:

- "Responsibility", cioè “responsabilità di portare a termine un compito che può, ad esempio, consistere nella progettazione e realizzazione di un sistema privacy conforme al GDPR;

- "Liability", cioè responsabilità legale che comporta, ad esempio, l’essere soggetti a sanzioni pecuniarie o al pagamento di risarcimenti;

- "Accountability", cioè la responsabilità di rendere conto delle proprie azioni. È la tipica responsabilità dei consigli di amministrazione delle aziende nei confronti degli investitori.

Per proseguire la lettura di questa interessante analisi di Giuseppe Alverone - Data Protection Officer (DPO) certificato secondo lo standard nazionale UNI 11697:2017, membro di Federprivacy e relatore a secsolutionforum 2023 - questo è il link