Sicurezza e Data Protection

Security & GDPR: la tua azienda è al passo coi tempi?

Dall’introduzione del GDPR e delle sue linee guida sono passati quasi due anni e mezzo e mai come oggi è fondamentale, per ogni azienda, rivedere il proprio sistema di gestione dei dati personali e di aderenza al principio di accountability, sia dal punto di vista organizzativo e documentale che dal punto di vista tecnico.

L’evoluzione tecnologica e normativa di questi due anni ha comportato un profondo ripensamento non solo dell’assetto tecnologico ed organizzativo delle aziende e delle pubbliche amministrazioni, ma anche una ponderazione più ampia sull’attuale modello di business dell’Information Security e dell’ICT in generale.

Ma quali sono gli step necessari per verificare se un’azienda ha portato avanti tutto ciò che Security e GDPR hanno reso necessario all’interno dell’organizzazione aziendale?

Il ruolo del DPO nel contesto di Security e GDPR in azienda

Il regolamento europeo in materia di protezione dati personali prevede (art.37) in alcuni casi la nomina di un responsabile del trattamento dati personali, una figura incaricata dal titolare aziendale di gestire materialmente il trattamento dati, comunemente definita DPO (Data Protection Officer). Sarà il DPO ad occuparsi del monitoraggio dello svolgimento materiale delle operazioni di raccolta, gestione, trattamento e comunicazione dei dati. Sarà ancora il DPO ad occuparsi del controllo e della verifica dei sistemi e delle forme di protezione dati, in coordinamento con il titolare e con gli eventuali responsabili aggiuntivi. È dunque fondamentale che il DPO abbia non solo un’adeguata conoscenza tecnica e giuridica, ma anche un ampio margine di autonomia, autorevolezza e indipendenza nella propria attività per evitare ogni possibile forma di conflitto sia con il titolare, sia con altre figure aziendali.

Aggiornamento e formazione del DPO: quanto è stato fatto dalla tua azienda?

Tra i compiti del DPO non c’è solo quello di curare l’aggiornamento delle procedure e assistere il titolare dell’azienda nella formazione degli operatori, ma anche quello di vigilare sull’applicazione del regolamento e dei periodici aggiornamenti e di ogni attività connessa ad eventuali problematiche. Il DPO deve quindi svolgere sia un’attività interna alla struttura sia un’attività esterna, in quanto punto di contatto con l’Autorità Garante.

L’importanza degli audit e il principio di accountability

A seguito dell’introduzione del GDPR la tua azienda ha svolto degli audit per verificare la compliance al regolamento? Gli audit interni e sui fornitori sono uno degli strumenti più efficaci per monitorare la propria compliance in attuazione del principio di accountability previsto dal GDPR che impone al titolare del trattamento di adottare misure tecniche e organizzative adeguate a garantire i diritti e le libertà fondamentali (responsabilità) e di dimostrare la conformità del trattamento al GDPR (verificabilità).

Il ricorso agli audit interni permette ad ogni azienda un più efficace processo di adeguamento alla vigente normativa privacy, dimostra la conformità dell’azienda e consente l’efficace monitoraggio dell’adeguatezza delle misure tecniche ed organizzative interne rispetto al rischio del trattamento.

Al pari, l’utilizzo di audit sui fornitori consente di essere in grado di dimostrare di aver adeguatamente scelto e monitatoro tramite vigilanza, i fornitori scelti per la prestazione dei servizi affidati (sia quali titolari autonomi che in qualità di responsabili del trattamento) a seconda dei dati trattati.

Privacy by design: le tue attività di trattamento sono state verificate?

Il concetto di privacy by design è stato introdotto già nel 2010 e significa impostare un prodotto o processo privacy compliant sin da subito al fine di garantire la massima funzionalità e flessibilità per rispettare tutte le esigenze dell’azienda, nel rispetto della sicurezza dei dati, trasparenza e la centralità dell’utente. La tua azienda come ha impostato i propri processi valutativi e preliminari?

L’aggiornamento del Registro dei Trattamenti

Tra gli step fondamentali che dimostrano quanto la tua azienda sia al passo con i tempi rispetto ai temi di Security e GDPR c’è quello relativo all’aggiornamento del Registro dei Trattamenti, uno degli elementi principe per la definizione della conformità al GDPR.

Anche se è vero che l’obbligo di tenere un registro delle attività di trattamento non si applica alle imprese con meno di 250 dipendenti, è anche vero che risulta piuttosto difficile dimostrare l’accountability di un’azienda se non si ha piena coscienza dei trattamenti di dati personali che avvengono al suo interno.

Per questo È importante e consigliabile tenere, comunque e aldilà degli obblighi previsti dalla normativa, un Registro dei Trattamenti che possa agevolare il controllo sui trattamenti che vengono eseguiti nell’esercizio di ogni attività aziendale. Di conseguenza, si evince l’importanza di un costante aggiornamento del Registro dei Trattamenti che diventa per sé una dimostrazione di accountability.

In sintesi, il GDPR ha introdotto un approccio proattivo, dinamico, incentrato sulla capacità di autoanalisi e autodisciplina, capacità racchiuse appunto nel principio di accountability: se ne deduce quindi che effettuare un checkup periodico non può che essere considerato positivo dal Garante.

Fai il test sullo stato di accountability della tua azienda in tema di Security e GDPR: contattaci o scopri di più sui nostri servizi per la CyberSecurity e la Data Protection!