Alla luce del recente General Data Protection Regulation, che a partire dal 25 maggio 2018 sarà il nuovo Codice della privacy, i processi di Data Governance, nella loro declinazione di cyber security, sono un tema sempre più all’ordine del giorno.
Il nuovo regolamento sulla data protection è un testo aggiornato in materia di diffusione dei dati personali fortemente voluto da tutti i paesi dell’Unione Europea, a cui dovranno adeguarsi le aziende, europee e non europee, che processano dati di cittadini UE.
Quali sono gli elementi essenziali del GDPR?
Come previsto dal Considerando n. 78 del GDPR, “La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento”.
Cruciale è l’introduzione del “Responsabile della protezione dei dati” (Data Protection Officer o DPO), ovvero la figura incaricata di assicurare una gestione corretta dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dei dati. Per poter dimostrare la conformità al regolamento il DPO, professionista di risk management con un ruolo aziendale, dovrà predisporre di policy interne e provvedimenti tecnici che garantiranno il rispetto del principio della “protezione dei dati fin dalla progettazione e della protezione dei dati di default”.
Innanzitutto occorre definire il “registro dei trattamenti”, ovvero il registro che il DPO deve tenere circa le “attività di trattamento effettuate sotto la sua responsabilità”, e il piano di adeguamento al GDPR. Viene infatti precisato dal Considerando n. 82 che, al fine di dimostrare la conformità al GDPR, il titolare, o il responsabile del trattamento, deve dotarsi di un registro atto a documentare ogni elemento connesso all’utilizzo di dati personali. Questa fase deve prevedere la mappatura del modello attuale dell’organizzazione e un’analisi esaustiva dei gap, con riferimento a quanto richiesto dal GDPR, al fine di definire un piano di azioni specifiche fortemente relazionate alla realtà aziendale. Il registro dei trattamenti, redatto in forma scritta anche in formato elettronico, è obbligatorio per le organizzazioni con più di 250 dipendenti ma è per tutte consigliato.
Il GDPR prevede che il registro dei trattamenti si occupi di un contenuto specifico e che contenga determinate informazioni, come indicato nell’Articolo 30 del testo del Regolamento. Tale registro deve essere messo a disposizione su richiesta dell’Autorità di controllo e la sua redazione, fortemente incentivata dal legislatore europeo, non dovrebbe essere concepita come un obbligo legale bensì come un importante strumento di monitoraggio e pianificazione. Inoltre la compilazione del registro apporta numerosi vantaggi per le aziende, come una maggiore sicurezza dei dati aziendali e una più consapevole gestione dei rischi connessi al trattamento dei dati personali.
Convegno UPA “GDPR: comunicazione e attività di marketing: cosa cambia davvero in Italia. Istruzioni per l’uso”
La gestione dei rischi è stato il contenuto centrale dell’intervento di Corrado Pomodoro di HSPI, in occasione del convegno tenuto da UPA il 22 marzo sul tema “GDPR, comunicazione e attività di marketing: cosa cambia davvero in Italia. Istruzioni per l’uso”.
Pomodoro, facendo riferimento alla ricorrenza per ben 81 volte della parola “rischio” all’interno del testo del GDPR, ha parlato dell’analisi dei rischi connessi all’IT e alle tecniche per la loro valutazione e gestione. Ha sottolineato l’importanza dell’adozione di un approccio strutturato nelle seguenti fasi: definizione del contesto, valutazione degli impatti, identificazione delle possibili minacce e della loro probabilità, valutazione dei rischi, intesa come combinazione di probabilità e impatto, e infine, adozione di misure di mitigazione proporzionate al rischio.
Tale analisi e, in particolare, la valutazione dell’impatto dei trattamenti previsti sugli interessati deve essere effettuata dal titolare del trattamento prima di procedere al trattamento stesso: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (Articolo 35).
Corrado Pomodoro, HSPI Associate partner, dirige il team dedicato ai progetti di Cybersecurity & Information Risk Management.