Condominio

I Mercoledì della privacy: il «Ciclo di Deming» per evitare le sanzioni privacy

È un metodo di gestione utilizzato per il controllo e la verifica continua delle procedure, che ogni studio di amministrazione dovrebbe attuare

di Carlo Pikler - Centro studi Privacy and Legal Advice

Il Gdpr richiede, così come specificatamente espresso dall'articolo 25 che disciplina la privacy by design e la privacy by default, un'analisi preventiva finalizzata a costruire quelle procedure che vadano a limitare i rischi collegati ai trattamenti dei dati, che possano portare pregiudizi per i diritti e le libertà delle persone fisiche. Questa analisi deve sostanziarsi nell'attuazione di procedure e misure di sicurezza che siano attive «per impostazione predefinita», cioè prima ancora che si dia inizio alle attività di trattamento.

Si tratta di un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili mediante evidenze documentali, che insieme portino nella dimostrazione di accountability, ovverosia di «proattività» verso la norma e di «responsabilizzazione» attraverso comportamenti documentabili.Nello svolgere queste attività di protezione del dato, strutturando idonei percorsi e processi, occorre sempre tener conto che il trattamento dei dati personali è considerata attività pericolosa, rientrante nella disciplina prevista dall'articolo 2050 Codice civile.

Come limitare i rischi
Come tale si prevede quindi un onere della prova a carico del titolare o del responsabile del trattamento e, quindi, in capo all'amministratore di condominio che svolge sicuramente il ruolo di titolare all'interno del proprio studio, mentre può svolgere il ruolo di titolare e/o di responsabile nella sua attività gestoria verso il condominio amministrato. L'elenco delle misure che si attuano per mitigare i rischi deve essere una lista aperta e non esaustiva avente necessariamente carattere dinamico, denominata «analisi dei rischi» che si deve continuamente confrontare con gli sviluppi della tecnologia.

Nella predisposizione di questo documento, così come nella predisposizione di ogni analisi dei rischi dinamica, si devono impostare delle procedure interne calibrate secondo il «Ciclo di Deming»(Pdca) che prevede quattro fasi, tutte collegate tra loro, nessuna delle quali può essere omessa se si vuole svolgere in maniera esatta la procedura di adeguamento alla normativa sul corretto trattamento dei dati personali, evitando così di dover incorrere in spiacevoli situazioni sanzionatorie.

Le fasi
Le quattro fasi sono chiamate: Plan – do – check – act ossia in italiano «Pianificare - fare - verificare - agire» e si sostanziano nelle seguenti attività:
•Plan - Pianificazione: qui si devono stabilire gli obiettivi e i processi necessari per fornire i risultati in accordo con gli esiti attesi. Implica lo svolgimento di un'analisi dei rischi che tenga conto del contesto nel quale si opera, così come richiesto dall'articolo 35 Gdpr;
•Do - Esecuzione del programma: in questa fase si deve attuare il piano, cioè eseguire il processo, creare le procedure tecniche ed organizzative necessarie a mitigare i rischi, così come studiate nella fase precedente dell'analisi dei rischi. In questa fase si devono anche raccogliere i dati per la creazione delle analisi da destinare alle fasi di check e act;
Check - Test e controllo: si tratta di svolgere delle attività di studio e raccolta dei risultati e dei riscontri. Vanno esaminati gli esiti della fase del do confrontandoli con i risultati attesi e gli obiettivi del plan. Se vi sono differenze tra l'atteso e l'attuato occorre studiarne i motivi e procedere a convertire le correzioni nella successiva fase, quella dell'act;
•Act: azione per rendere definitivo e/o migliorare il processo. Qui si attuano le cosiddette azioni correttive che servono per ottenere il miglioramento del processo e delle procedure tecnico/organizzative attuate.

Considerazioni conclusive
Il Ciclo di Deming è un metodo di gestione utilizzato per il controllo e la verifica continua delle procedure, che ogni studio di amministrazione dovrebbe attuare per gestire le varie fasi delle attività quotidiane. Un miglioramento continuo che un buon amministratore dovrebbe perseguire per raggiungere l'obiettivo della massima professionalizzazione, del contestuale abbattimento dei rischi e dell'ottimizzazione dei tempi.

Per saperne di piùRiproduzione riservata ©