Durante gli audit di verifica, il DPO (Data Protection Officer) / RPD (Responsabile Protezione dei Dati) ha il compito di verificare se il sistema privacy implementato dalla società, di cui ha nomina, sia compliance. Al fine di poter certificare la conformità del suddetto, è necessaria l’analisi dei documenti in essere presso la società. Purtroppo, non sempre questa verifica si conclude con conformità ma si conclude con non conformità o con osservazioni.
Un esempio pratico è avvenuto durante un audit documentale relativo all’area Risorse Umane. Il DPO, intento nel verificare i documenti in materia privacy attinenti ai dipendenti, ha evidenziato alcune non conformità.
Nonostante la società si avvalesse di un supporto privacy, i documenti risultavano comunque non conformi. La società in questione consegnava due informative ex art. 13 GDPR ai dipendenti: una fornita dalla stessa titolare del trattamento, l’altra fornita dal consulente del lavoro dove chiedeva agli interessati la sottoscrizione e il consenso per trattare i loro dati. Senza soffermarci sulle difficoltà di archiviazione che può portare ad avere più di una informativa privacy per soggetto interessato, il vero problema riscontrato è stato quello legato all’ informativa resa dal consulente del lavoro!
L’informativa privacy va redatta dal titolare del trattamento in quanto solo il titolare è a conoscenza dei trattamenti effettuati e delle modalità per l’effettuazione degli stessi.
La prassi da parte dei consulenti del lavoro di preparare l’informativa privacy per i loro clienti, a meno che gli stessi non siano anche consulenti GDPR e siano quindi in grado di implementare l’intero sistema, oltre ad essere sbagliata è pure rischiosa! Occorre, infatti, che il consulente spieghi bene che l’informativa data è solo uno dei documenti da redigere per essere conformi al GDPR e che la redazione della stessa non esonera il titolare dall’obbligo di implementazione dell’intero sistema.
Altro interessante esempio, sempre avvenuto nel contesto di un audit documentale dedicato all’HR, è quello in cui il DPO ha riscontrato la presenza di una richiesta di consenso ai dipendenti, come soggetti interessati da parte della società, di poter trattare i propri dati particolari ex art. 9 e 10 del GDPR. Tale richiesta non presentava alcuna motivazione, finalità e non era legata ad alcuna informativa ex art. 13 e 14 GDPR.
In merito alla ricerca di una metodologia di archiviazione ottimale, un ultimo esempio riguarda proprio questo tema. Al momento di verifica dei documenti in essere presso una società, il DPO non ha potuto portare a termine l’audit dato che la metodologia di archiviazione scelta dalla suddetta ha resto impossibile la disamina dei documenti in materia privacy e, inoltre, la società stessa non era in grado di monitorare il sistema, non avendo un’idea chiara dei documenti presenti.
Si ricorda, infine, che il fatto di aver nominato un DPO non libera, anzi, deve incoraggiare e invogliare il titolare a garantire in continuazione la conformità al GDPR. Difatti, sta alla stessa rimanere sempre vigile e sensibile al tema, grazie ad una formazione adeguata e completa.
Se hai dei dubbi riguardo la materia privacy non esitare a contattarci. B&P Solution fornisce un’analisi a 360 gradi sul trattamento dei dati. Essere conformi alla normativa è importante, cosa aspetti?
