Il software “DPO e Consulenti” è stato pensato sia per il DPO che per i consulenti.
Il software fornisce al professionista della data protection uno strumento organizzato e agile per la gestione dei controlli e degli adempimenti previsti dal GDPR e dalla normativa italiana (d.lgs. n. 196/2003 come modificato dal D.lgs. 101/18), e gli consente di accedere ad un sistema strutturato di ben 34 applicativi per l’esecuzione dei compiti di sorveglianza previsti dalla funzione del DPO e quelli operativi del Consulente della privacy.
I principali strumenti previsti dalla sezione DPO sono quelli relative alla:
• verifica del registro delle attività di trattamento del titolare e del responsabile
• verifica delle informative
• analisi del rischio informatico
• attività di formazione del personale
• sorveglianza del DPO sulla valutazione di impatto
• verifica del rispetto dei principi di “privacy by design” e “by default”
• gestione del Data Breach e dell’Incidente Informatico
• regolamento sull’utilizzo delle risorse informatiche aziendali
• relazione annuale sull’attività svolta
I principali strumenti della sezione consulente sono i seguenti:
• redazione del registro delle attività di trattamento del titolare
• gestione delle «nomine» dei responsabili (gli accordi ex art. 28 GDPR)
• data protection impact assessment («DPIA» ex art. 35 GDPR)
• riscontro agli interessati
Ogni strumento è corredato da un insieme di check-list e indicazioni operative che permettono al professionista di orientarsi anche all’interno delle attività più complesse.
Una volta terminata l’attività è possibile generare un report di valutazione e conservare lo stesso all’interno del repository dedicato ad ogni cliente, nel quale sarà possibile conservare un archivio con tutte le compilazioni effettuate.
Il riepilogo attività del menu principale consente di avere una visione d’insieme dello stato delle attività di verifica da compiere.
Ogni singola attività è contrassegnata da uno “status” a seconda del livello di avanzamento raggiunto nella verifica. È possibile ricercare le attività per cliente e/o per status secondo le seguenti suddivisioni: scaduta, da svolgere.
La funzione “aggiungi documenti” offre la possibilità di caricare la risultanza documentale creata per la relativa attività, anche attingendo al repository dei modelli standard.
È da notare che, nonostante le attività standard siano un numero notevole, è lasciata la possibilità di creare attività personalizzate (ad esempio per settori merceologici che richiedano approfondimenti verticali su aspetti specifici).
Al termine di ogni verifica è possibile scaricare il report finale che consente nell’ottica del principio dell’accountability previsto dall’art. 32 del GDPR di rendicontare l’effettiva attività svolta. Oltre al report finale delle attività, vengono forniti modelli (ad esempio modello di comunicazione del data breach o di relazione di fine anno) e linee guida che consentono di dare le corrette indicazioni al titolare del trattamento circa il comportamento da seguire. In ultimo, la sezione del software dedicata al DPO fornisce (terzo pulsante) una “unione” di tutti i documenti prodotti ad una certa data. Questa funzione risulta assai utile per cristallizzare di tempo in tempo tutto il lavoro svolto dal DPO, in maniera semplice e efficace.
L’anagrafica del cliente ospita, oltre ai dati dell’organizzazione (identificativi e di contatto), alcuni menu fondamentali per mappare i soggetti con funzioni di rappresentanza e sorveglianza (rappresentante e DPO), alcuni soggetti coinvolti nel trattamento (i destinatari dei dati), le unità organizzative, gli asset utilizzati e le misure di sicurezza adottate. Tali informazioni, che vanno anche oltre a quanto strettamente richiesto dalla normativa (ad es. dall’art. 30 GDPR per il registro delle attività di trattamento) sono assai importanti e utili ai fini della piena funzionalità degli altri strumenti della parte “Consulenti”.
Il tool di ausilio alla redazione del registro delle attività di trattamento del titolare ha una logica innovativa. Le attività di trattamento sono concepite come “legate” alle categorie di interessati, a conferma del fatto che il soggetto a cui si riferiscono i dati riveste un ruolo centrale, perché è per lui (e non tanto per i suoi dati) che la normativa appresta una tutela.
Partendo dalle categorie di Interessati, dunque, il consulente può “filtrare” l’elenco delle attività di trattamento preimpostate (la “biblioteca”) e individuare quali aggiungere al registro.
All’interno della singola attività di trattamento si trovano già preimpostate le principali finalità, ciascuna corredata di un set predefinito di dati personali trattati. Si possono ovviamente aggiungere o eliminare finalità e categorie di dati. Il consulente è tenuto a verificare la rispondenza dei preset alla situazione concreta (eventualmente aggiungendo o rimuovendo i contenuti standard), ad indicare le basi giuridiche per ciascuna categoria di dati (selezionando-le da un comodo menu a tendina) e, in ultimo, a riportare i termini ultimi di cancellazione per ciascuna categoria di dati.
La modalità di gestione dei “Destinatari” è anch’essa innovativa, per quattro motivi:
1) consente una categorizzazione generale per “famiglia” in macroinsiemi preimpostati, e una de-scrizione personalizzata facoltativa ma utile per l’identificazione del soggetto;
2) lega a ciascun destinatario le specifiche eventualmente riguardanti i trasferimenti di dati extra UE (attraverso la presentazione di tre menu a tendina successivi, riportanti gli elenchi di garanzie, deroghe all’assenza di garanzie, e altre condizioni di liceità del trasferimento previste in assenza di deroghe);
3) al destinatario può essere attribuita l’“etichetta” di “titolare autonomo”, “contitolare” o “responsabile”;
4) il destinatario può essere associato a tutte le finalità dell’attività, oppure soltanto ad alcune di esse attraverso un menu a spunta.
Quando al destinatario è stata attribuita l’etichetta “responsabile”, ed è stato indicato un “Sì” nel campo “accordo DPA”, il software sarà in grado di generare automaticamente la nomina per lo specifico destinatario dei dati (vedi più avanti la “gestione delle nomine”).
All’attività di trattamento vanno infine associate le funzioni aziendali, gli strumenti di trattamento e le misure di sicurezza già mappati nella scheda cliente (con una logica di aggiunta per le funzioni aziendali e una logica di sottrazione per strumenti di trattamento e misure di sicurezza).
Una volta terminato l’inserimento dell’attività di trattamento è possibile tornare sulla schermata principale e dopo aver selezionato il pulsante “Gestione delle Nomine” (primo a sinistra) sarà possibile trovare tutte le nomine ex art. 28 GDPR che si generano automaticamente, qualora sia stato selezionato il “Sì” nel campo “Accordo DPA” durante la compilazione del menu destinatari. La stampa dell’accordo utilizzerà le informazioni presenti all’interno delle categorie di destinatari all’interno del registro del trattamento.
La check-list ha lo scopo di generare il documento relativo alla valutazione di impatto sulla protezione dei dati (DPIA). Al termine delle 52 domande sulla Valutazione d’Impatto (DPIA) si potrà ottenere il report finale delle risposte.
La check-list proposta ha lo scopo di fornire una “griglia” per passare in rassegna quali diritti vadano riconosciuti all’interessato e se e in quale misura essi debbano/possano essere compressi (ossia, esclusi, limitati o ritardati).
Al termine delle 17 domande sul “Riscontro all’interessato” si potrà ottenere il modello di “Lettera di riscontro all’interessato” e il “Report interno su esercizio diritti dell’interessato”.