“Cosa devo fare per essere compliant al GDPR?” Questa è la domanda che molti ci fanno. La nostra risposta è sempre la stessa: non puoi sapere cosa mettere in campo, se prima non identifichi cosa ti manca…
GDPR
“Cosa devo fare per essere compliant al GDPR?”
Questa è la domanda che molti ci fanno. La nostra risposta è sempre la stessa: non puoi sapere cosa mettere in campo, se prima non identifichi cosa ti manca.
Non esiste la magic box per il GDPR da poter applicare indistintamente in tutte le realtà aziendali, parafrasando il famoso motto “One size doesn’t fit all”. Serve invece indentificare e circoscrivere preventivamente determinati fattori e processi, di cui parleremo in questo articolo, al fine di individuare le modalità e le misure per rispettare la compliance al GDPR, in modo opportuno e senza sprechi.
C’è un termine ricorrente nel GDPR che dice molto del regolamento, un termine che solo nell’articolo 32 appare ben due volte: ”Misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
Questo articolo del Regolamento evidenza un aspetto importante e non trascurabile: prima di individuare e attuare le giuste azioni correttive o implementare eventuali tecnologie, bisogna mettere in campo un’azione che viene prima di tutto il resto, l’analisi.
L’adeguatezza enunciata nel Regolamento, presuppone di aver effettuato un’osservazione e un’indagine accurate, idonee a poter definire e declinare le giuste misure verso la compliance, nel rispetto delle peculiarità aziendali e delle tipologie di dati trattati internamente.
Non esiste un path più corretto di altri per implementare e rispettare ad hoc il GDPR. Dipende invece da aspetti quali: la tipologia dei dati trattati dall’azienda, la loro quantità, dal sistema e dai processi di sicurezza già in essere, oltre che da un giusto equilibrio tra i costi di attuazione e la natura dei dati personali, come evidenziato tra l’altro al Considerando 83.
Tutte variabili che possono essere identificate e misurate attraverso l’attività di analisi che include tra i suoi risultati la stesura di tre documenti per noi di Intuity essenziali:
- Il Registro dei trattamenti
- La Valutazione dei rischi
- Il Piano di adeguamento
IL REGISTRO DEI TRATTAMENTI
Il Registro dei trattamenti, esposto nell’articolo 30 del Regolamento del GDPR, è considerato obbligatorio per le aziende con più di 250 dipendenti. Viene ritenuto uno strumento utile e consigliabile per quanti vogliono approcciare al GDPR in modo metodico e razionale.
Questo strumento infatti aiuta a far chiarezza sull’ambito di applicazione della norma e di avere maggiore visibilità e controllo su ogni singolo trattamento dei dati. Consente di capire quali figure aziendali hanno accesso a determinati dati, per quali finalità, la loro tipologia e quali misure di sicurezza sono già in essere per la loro tutela.
Vogliamo capire dal personale Marketing dettagli sui dati raccolti attraverso i form presenti nel sito aziendale.
- Chi dovrebbe averne accesso
- gli scopi per i quali questi dati vengono raccolti (campagne, eventi, etc)
- quali informazioni vengono trattate e se queste si riferiscono direttamente o indirettamente alla sfera personale (orientamento religioso, sessuale, politico, etc.).
Al contempo il personale IT ci darà informazioni sulle misure di sicurezza già implementate, ad esempio se il sito utilizza comunicazioni cifrate (https) o se esiste un controllo di accesso ai file di archiviazione.
Questo insieme di informazioni verranno organizzate nel Registro dei trattamenti, che da quel momento in poi diventerà l’elemento cardine attorno cui ruoteranno tutte le azioni legate al tema della Privacy.
I trattamenti dettagliati del Registro saranno approfonditi ulteriormente per effettuare il secondo step: la Valutazione dei rischi.
LA VALUTAZIONE DEI RISCHI
Un altro strumento che noi riteniamo fondamentale per capire se i trattamenti avvengono e sono gestiti in sicurezza, oltre che individuare aree di miglioramento verso la compliance al GDPR, è la Valutazione dei rischi.
Consente di capire il livello di sicurezza e di controllo che l’Azienda ha nei confronti dei dati personali che gestisce. Identifican asset coinvolti, eventuali vulnerabilità e minacce presenti, inoltre consente di individuare a priori in quali conseguenze l’Azienda potrebbe incorrere sulla base dei rischi evidenziati.
La finalità della Valutazione dei rischi è quella di analizzare ogni singolo trattamento dal punto di vista delle persone, dei processi, dei sistemi e delle applicazioni coinvolte. Delimitare le eventuali aree di intervento e adottare le giuste contromisure atte ad appianare i gap di sicurezza che saranno documentate nel Piano di adeguamento.
IL PIANO DI ADEGUAMENTO
Il Piano di adeguamento, per quanto detto finora, rappresenta la fase conclusiva di un percorso che non può prescindere da un’analisi approfondita del contesto. Tenendo conto dei risultati della Valutazione del rischio, saranno suggerite delle azioni che portino l’Azienda a rispondere correttamente alle indicazioni contenute in particolare nell’articolo 32 (Sicurezza adeguata) e negli articoli 33 e 34 (Capacità di individuare un incidente di sicurezza e di comunicarlo nei tempi previsti dal Regolamento).
Tutto questo nel rispetto dei Principi Generali del trattamento (art. 5):
- Liceità, correttezza e trasparenza
- Limitazione delle finalità
- Minimizzazione dei dati
- Esattezza
- Limitazione della conservazione
- Integrità e riservatezza
- Responsabilizzazione