Adeguamento al GDPR: la checklist di conformità normativa dell’AEPD

L'AEPD (Agencia Española de Protección de Datos), autorità di controllo spagnola, nell'imminenza della data di decorrenza dell'applicazione delle disposizioni del Regolamento UE 2016/679 (25 maggio 2018) dopo il biennio di 'sospensione' (la relativa entrata in vigore risalendo a due anni prima), pubblicava il 16 aprile 2018 una “Listado de cumplimiento normativo para facilitar la adaptación al RGPD” (testo in calce), ossia una lista per la verifica della conformità alle disposizioni di legge e per facilitare l'adeguamento delle organizzazioni al Regolamento stesso.

Si trattava/tratta, nelle intenzioni dell'autorità spagnola, di uno strumento basilare e semplice, che riproduceva/riproduce i requisiti e le prescrizioni contenute nelle varie disposizioni in forma di successive distinte domande/quesiti per un totale di 224 controlli. Insomma, una vera e propria check list articolata/distesa sui tasselli fondamentali della normativa: principi del trattamento, basi giuridiche, regime del trattamento dei dati sensibili e giudiziari, informative e diritti degli interessati, registro dei trattamenti, responsabilità del titolare, contitolari e responsabile del trattamento, misure di sicurezza, valutazioni di impatto sulla protezione dei dati, disciplina delle violazioni dei dati, trasferimento dei dati a titolari/responsabili extra UE/SEE (Spazio Economico Europeo).

La lista focalizza l'attenzione non sull'organizzazione, bensì su ciascun singolo trattamento in essa gestito/presente.

Dal punto di vista metodologico è l'unica scelta possibile, poiché la sola coerente con l'approccio normativo che pone il trattamento dei dati, dalla raccolta fino alla loro cancellazione/distruzione, quale bussola e metro per l'applicazione di tutti gli istituti giuridici e delle misure/adempimenti correlati; il mattone fondamentale di ogni ragionamento/programma che ponga la questione della conformità alle disposizioni di legge.

Così la “listado de cumplimiento normativo” suggerisce all'operatore (titolare, consulente o RPD/DPO che sia) di progettare e concepire le proprie attività anzitutto in termini di analisi puntuali e rigorose dei vari trattamenti, generalmente corrispondenti ai diversi processi o gruppi di processi all'interno dell'organizzazione e nelle relazioni con il mondo esterno (clienti, fornitori, altri soggetti/parti interessate).

La lista sembra immaginata, in particolare, per essere utilizzata negli audit c.d. 'di prima parte', cioè per attività di autovalutazione dell'organizzazione sotto il profilo dei trattamenti. Essa è liberamente scaricabile dal sito dell'AEPD al seguente indirizzo (www.aepd.es/es/documento/guia-listado-de-cumplimiento-del-rgpd), ovviamente in lingua spagnola.

Premesso quanto sopra Inveo (organismo di certificazione italiano, accreditato da Accredia a fronte della norma ISO/IEC 17065:2012 ed in relazione allo schema ISDP10003:2020 con il quale sono stati definiti i requisiti generali e i controlli per la dimostrazione della conformità al Regolamento EU 2016/679) ha curato la traduzione in lingua italiana della lista, denominandola “Data Processing Assessment Check List” e collocandola in un file Excel, con il proposito di consentire ai titolari italiani l'utilizzazione immediata del 'tool' scaricato - previa registrazione - dal portale dell'organismo (https://www.in-veo.com).

L'utente utilizzerà il file Excel scrivendo “Sì”/“No”/“Non applicabile” nelle apposite caselle di spunta, ottenendo alla fine una panoramica quali/quantitativa completa o, più esattamente, sistematica del trattamento dei dati, con l'evidenza delle più o meno impellenti necessità di risoluzione delle non conformità riscontrate.