La figura del DPO e l’introduzione del registro delle attività di trattamento. Nuovo approccio e nuovi criteri, anche quantitativi, per misurare la conformità in materia di protezione dei dati personali
La normativa (GDPR – Regolamento UE 2016/679) introduce fra i vari concetti innovativi quello di “protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”. I titolari o i responsabili di trattamento dovranno pertanto valutare qualunque iniziativa che coinvolga un trattamento di dati personali, considerandone da subito i possibili impatti, al fine di predisporre tutti i presidi atti alla loro protezione. Il concetto di protezione dei dati personali è decisamente più esteso del concetto di sicurezza, tanto è che l’attuale normativa privacy italiana si chiama Codice in materia di protezione dei dati personali, e che GDPR sta per Regolamento generale sulla protezione dei dati.
Sono quindi molteplici gli elementi che è necessario prendere in considerazione, fin dalla progettazione, al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati. Il titolare o il responsabile (e questa è un’altra novità introdotta dal GDPR), è tenuto a “rendicontare” le azioni intraprese, fin dalla progettazione, per garantire il rispetto dei requisiti normativi: un impegno non da poco, rispetto all’approccio tradizionale. Una normativa che impone una costante valutazione “ex ante” delle azioni intraprese richiede per il proprio rispetto anche metodi adatti di valutazione del loro impatto, possibilmente di natura quantitativa.
Cosa e come misurare
Ma per misurare è innanzitutto necessario individuare “cosa misurare”, quindi quali indicatori usare. In genere, si preferiscono misurare i risultati (lag indicators), perché sono più facili da valutare, sono precisi e in genere inconfutabili. Se si vuole sapere quanto si è venduto, basta consultare i registri delle vendite. Se si desidera sapere se il nostro peso è aumentato o diminuito, basta la bilancia. Ma se si desidera vendere di più o perdere qualche chilo di troppo, queste misure aiutano poco. Si è informati sulla situazione attuale, ma si hanno poche informazioni su quali siano le azioni da intraprendere per migliorare la situazione in base alle proprie aspettative. Per influenzare il futuro è necessario utilizzare un altro tipo di misura, in grado in qualche modo, di anticiparlo. Per esempio, se si desiderano aumentare le vendite, si potrebbe aumentare il numero di clienti contattati mensilmente o fare campagne più estese di marketing. Per perdere qualche chilo di troppo, si potrebbero misurare le calorie che vengono assunte giornalmente e correre per almeno 2 km al giorno.
Indicatori e responsabiltà
La misura di queste attività fornisce un insieme di lead indicators. Questi hanno la caratteristica di misurare non tanto il risultato, quanto il processo (quanti contatti, quante calorie, quanti km, etc.) messo in atto per raggiungerlo. Si tratta quindi di indicatori predittivi. Rispetto ai lag indicators, sono più difficili da definire e non danno alcuna garanzia di successo. Questo non solo rende difficile decidere quali indicatori scegliere, ma può anche essere fonte di dibattiti e disaccordi fra i soggetti impegnati nella loro individuazione, la quale richiede competenze specifiche rispetto al processo da misurare. In ogni caso, per confermare i risultati attesi, si devono definire altrettanti lag indicators. È inoltre necessario che qualcuno se ne prenda la responsabilità preventiva: l’accountability, infatti è uno dei requisiti che sta alla base del GDPR. Non solo. Nell’ottica del nuovo Regolamento, è opportuno evidenziare come aver definito una serie di lead indicators possa da una lato costituire una evidenza dell’attività di analisi e verifica messi in atto da chi effettua il trattamento e dall’altro rappresentare un fattore esimente nel caso in cui sia inflitta una sanzione pecuniaria per la cui valutazione l’autorità di controllo tiene conto delle misure tecniche e organizzative messe in atto ai sensi degli articoli 25 e 32.
Giancarlo Butti, internal auditor, docente CLUSIT