Vogliamo affrontare il tema dell’accountability del titolare – come impostata dal Regolamento UE 2016/679 (a partire dall’art. 24, per poi essere rinvenuta, ancora in termini generali, negli artt. 5, 25, 32) – sapendo per esperienza che, in particolare nelle PMI e nelle piccole organizzazioni, permane un problema di attenzione continuativa ed effettiva alle esigenze/misure della protezione dei dati personali.
Ecco allora emergere la necessità di un appuntamento periodico e, per così dire, ‘strategico’, nel quale il titolare possa applicare/esercitare consapevolezza della responsabilità, coscienza (auto)critica, aderenza a fatti/evidenze oggettive, ascolto dei più stretti collaboratori, generalità ovvero integralità dell’approccio, tensione verso il miglioramento continuo e capacità di pianificazione. Questo appuntamento è, inevitabilmente, quello del riesame di direzione.
“Riesame di direzione” è termine tecnico che allude ad uno dei passaggi, forse il più importante, per l’organizzazione che abbia adottato un sistema di gestione in base ad uno standard della ‘famiglia’ ISO 17021.
Come è noto, tuttavia, in virtù del principio di interoperabilità degli schemi di certificazione, richiamato dalle Linee Guida EDPB 1/2018, il “riesame di direzione” è presente anche nell’ambito dell’altro importante insieme (qui di precipuo interesse) delle certificazioni di prodotto, processo o servizio (ISO 17065).
Il riesame di direzione nello standard ISO 9001:2015 – Cominciamo dai sistemi di gestione, prendendo all’uopo a riferimento lo standard ISO 9001:2015 (per un Sistema di Gestione della Qualità, d’ora in poi anche solo ‘SGQ’), il più diffuso. Ebbene, “l’attività di riesame ha il ruolo di attività strategica del ciclo di pianificazione del sistema di gestione per la qualità” (F. C. Barbarino, “UNI EN ISO 9001:2000”, 2001, p. 73).
L’alta direzione (requisito 9.3) deve, ad intervalli pianificati, riesaminare il SGQ in modo che ne siano assicurate in modo continuativo la idoneità, l’adeguatezza e l’efficacia, oltre che l’allineamento agli indirizzi strategici dell’organizzazione. Il riesame di direzione si esegue a partire dalla disponibilità degli elementi in ingresso (input), ovvero la base informativa che deve essere oggetto di analisi e valutazione nel corso del riesame; ed elabora e produce, a sua volta, elementi in uscita (output), ossia gli esiti decisionali.
Con riferimento ai titolari che hanno implementato un SGQ, l’opportunità è quella di instaurare sinergie formali tra gestione degli adempimenti data protection e SGQ.
L’opportunità è colta dal titolare nella misura in cui, volendo integrare gli uni nell’altro, si vincoli ad utilizzare, oltre al resto (per esempio, le verifiche ispettive interne), il riesame di direzione al fine sottoporre ad una periodica revisione il complesso delle misure di sicurezza adottate nell’organizzazione.
Sul piano operativo, ciò comporta che una parte della riunione del riesame sia dedicata allo stato dell’arte in ambito data protection.
Dal punto di vista logico, oltre che operativo, si possono distinguere le verifiche che per comodità chiamiamo ‘di sistema’, dalle altre. Le prime concernono l’adeguatezza complessiva del modello organizzativo rispetto ai requisiti fissati dalla normativa.
Le questioni sul tavolo possono essere del seguente tenore: esiste un meccanismo di monitoraggio e adeguamento alle novità normative? I trattamenti sono tutti censiti e descritti? Le misure adottate coprono le varie attività di trattamento? Il sistema di responsabilità è esaustivo rispetto alle varie funzioni presenti dentro e all’esterno dell’organizzazione? Le analisi e le valutazioni dei rischi sono adeguatamente impostate? Le procedure formalizzate sono sufficienti? Le secondo riguardano invece i deficit attuativi, gli inadempimenti e/o le violazioni delle norme interne formalizzate nel modello. In questo caso le domande da porsi possono essere del tipo delle seguenti: i soggetti interni ed esterni sono tutti nominati? Quali sono (stati) i tempi effettivi di evasione delle richieste degli interessati? L’attività dell’amministratore di sistema è stata verificata nei tempi prescritti? Sono occorsi incidenti di sicurezza? I nuovi assunti hanno ricevuto le istruzioni sui trattamenti dei dati?
Al termine del riesame, le risultanti decisioni in ambito di protezione dei dati dovrebbero quindi trovare spazio nel contesto più ampio del piano (di miglioramento della) Qualità.
Qual è il limite insito nella integrazione degli adempimenti data protection con il SGQ? Semplicemente, che l’SGQ è un contenitore (appunto) di sistema, che in quanto tale nulla dice al titolare dei requisiti del prodotto/servizio: quei ‘requisiti’, stabiliti da una fonte esterna (il Regolamento UE 2016/679), debbono essere appositamente ‘importati’ dal titolare negli adempimenti sistemici previsti (che si tratti degli input del riesame, del contenuto della check list per una verifica ispettiva o della impostazione di una azione correttiva/preventiva).
Per svolgere un riesame avendo come termine di riferimento testuale i requisiti fissati dalla normativa sulla protezione delle persone fisiche rispetto ai trattamenti di dati personali – dunque senza necessità di ‘importarli’ -, è necessario uno schema specifico. Quale è, ad esempio, l’italiano ISDP 10003:2020.
Il riesame di direzione nello schema ISDP 10003:2020 – Lo schema di certificazione ISDP 10003:2020 si articola in una serie di requisiti che offrono all’organizzazione la puntuale, sistematica, completa traduzione dei numerosi obblighi/adempimenti stabiliti dal Regolamento UE 2016/679. Dunque, la missione dello schema è non già dare assicurazione che l’organizzazione operi in conformità ad un determinato sistema di gestione, bensì che i suoi prodotti, processi o servizi siano conformi alle disposizioni in materia di protezione dei dati personali. Ne consegue che il riesame di direzione, in quanto elemento fondante del sistema di gestione, è scomparso come titolo autonomo ma è (saldamente) presente quale misura prevista all’interno della strategia di monitoraggio dei processi (id est valutazione delle prestazioni), restando antecedente logico/operativo del “Miglioramento” (requisito 10).
Il riesame di direzione è formalizzato nello schema nella misura in cui “il titolare e il responsabile del trattamento devono riesaminare e, qualora necessario aggiornare, l’efficacia delle politiche adottate, comprese la loro corretta applicazione e comprensione, almeno una volta l’anno per verificarne l’adeguatezza attraverso monitoraggi costanti. Il titolare attraverso lo strumento dell’audit può tenere sotto controllo la corretta applicazione delle politiche sia all’interno che all’esterno della struttura operativa” (9.1).
Il riesame è adempimento ineludibile per mettere alla prova il modello organizzativo e la sua conformità ai requisiti fissati.. Nell’impostazione dello schema, gli audit sono i fattori che gli procurano il carburante (le informazioni di input) da bruciare per poter funzionare. Il titolare è tenuto a rendere sistematici anche gli audit (cfr. “monitoraggi costanti”), con la pianificazione di un programma in cui si distinguano gli audit di prima parte – interni all’organizzazione – da quelli di seconda parte – che si eseguono presso le organizzazioni dei fornitori.
In concreto si è tentati di affermare che non cambi la sostanza di ciò che deve essere fatto, semmai – essendo diverso il riferimento testuale/operativo (non più gli obblighi mutuati ad hoc dalla legge ma i requisiti dello schema che ne sono la traduzione) – il titolare ha guadagnato l’immediatezza e la molteplicità complessiva e granulare della cornice che definisce la propria accountability.
Conclusioni – L’ipotesi realistica (cioè, rispondente ad una realtà che non può essere ignorata) è che il titolare quasi mai possa occuparsi in prima persona di tutti gli adempimenti per la protezione dei dati e che nell’ambito dell’organizzazione, una volta dato il ‘là’ alle misure necessarie, debba delegare molta della attività ai propri collaboratori (previa assicurazione che abbiano una adeguata competenza/formazione) senza tuttavia mai perdere il controllo, il polso della situazione. Se non gli è concessa – come non lo è – in alcun modo l’opportunità di delegare in toto ovvero di liberarsi della materia data protection, pure potrà concentrare il proprio impegno diretto in alcuni appuntamenti-chiave.
Il riesame di direzione assurge così a punta di diamante, manifestazione più completa del potere di controllo del titolare sull’organizzazione e del suo concreto esercizio, cabina di regia di un programma di azioni che, quanto al resto, saranno oggetto di attuazione entro un sistema di responsabilità articolato e diffuso all’interno dell’organizzazione.
Fonte: Federprivacy