Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'APPROCCIO CORRETTO

Le tre competenze chiave del GDPR: legale, cyber security, gestionale

In tema di protezione dei dati personali e conformità al GDPR, le tre competenze chiave sono quella legale, quella gestionale e quella relativa alla sicurezza informatica. La mancanza anche di una sola di esse può rendere fragile il sistema privacy all’interno delle aziende. Ecco perché

19 Nov 2019
R
Andrea Radin

Business Process Consultant e Formatore


Il GDPR non è solo un Regolamento con un insieme di normative da rispettare e documenti da predisporre, come informative e nomine. Il GDPR non è solo una questione di sicurezza informatica legata all’ambito della cyber security. Il GDPR non riguarda solo le modalità di trattamento dei dati personali. Il GDPR riguarda tutte e tre le competenze chiave, legale, cyber security e gestionale, essendo i tre pilastri su cui si basa lo stesso GDPR, la cui mancanza, anche di una di esse, rende fragile il sistema.

Le tre competenze chiave del GDPR: gestionale

Il GDPR è, prima di tutto, una questione organizzativa e lo dimostra il fatto che nell’articolo 4 del Regolamento europeo in materia di protezione dei dati personali il “titolare del trattamento” viene definito come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

Tale punto viene rimarcato poi nella definizione di trattamento, cioè “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Chi determina le finalità e i mezzi del trattamento di dati personali? Il titolare del trattamento in base alla propria organizzazione, in base alla tipologia della propria attività, in base ai processi aziendali e sistemi informativi, gestionali, e non che vengono utilizzati.

Il GDPR quindi ha un impatto prima di tutto organizzativo e non partire da questo rischia di trascurare delle attività, verifiche o appesantendo la gestione del GDPR:

  • rendendola a volte “burocratica” per quelle aziende che hanno una struttura e una gestione snella;
  • prevedendo blocchi e procedure che ne limitano le funzioni aziendali e trasformando il GDPR in un nemico da combattere, vanificando l’occasioni per fare attività importanti per le aziende, al di là del mero trattamento dei dati;
  • implementando attività e modalità di trattamento non necessarie;
  • trascurando attività fondamentali per delle specifiche aree aziendali.

Sicuramente la predisposizione del registro dei trattamenti può venire in supporto di tale attività. È poi fondamentale prevedere degli incontri con i diversi responsabili delle aree aziendali, facendo domande per capire:

  • quali sono i flussi di gestione dei dati personali;
  • quali sono le modalità di comunicazione e relazione sia all’interno tra le diverse figure e aree aziendali, che all’esterno come fornitori, professionisti, consulenti, collaboratori esterni, agenti (alcuni dei quali saranno nominati responsabili esterni al trattamento);
  • quali sistemi informatici e non vengono utilizzati per il diverso trattamento dei dati personali.

Le tre competenze chiave del GDPR: cyber security

L’art. 25 del Regolamento Europeo specifica che “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati… per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità”.

In questa parte fa da padrone tutto l’aspetto riguardante la gestione dell’infrastruttura informatica e della rete da parte del titolare del trattamento o da quelle realtà che in qualità di amministratori di sistema esterni ne gestiscono la manutenzione e l’adeguamento ai cambiamenti tecnologici ed evoluzioni delle minacce informatiche:

  • è necessaria quindi un’evoluzione della competenza da mero “sistemista” ad un esperto di cybersecurity che vada ad effettuare check periodici di analisi delle vulnerabilità della struttura informatica e verifichi il funzionamento delle procedure di backup, disaster recovery o business continuity;
  • nel caso non sia disponibile tale competenza creare un pool di professionisti con competenze specifiche che lavorino in sinergia adottando procedure come indicate nel punto precedente;
  • verificare che i sistemi informativi, gestionali e piattaforme abbiamo protocolli di sicurezza e seguano politiche come la profilazione dei ruoli e degli accessi, la crittografia ed eventuale pseudonimizzazione, con sistemi che vadano a gestire i diversi periodi di conservazione dei dati personali.

Tali azioni in ambito di protezione dei dati personali avrà poi un beneficio anche nella sicurezza dei dati aziendali e delle informazioni che sono il patrimonio delle aziende stesse, la cui perdita, diffusione e manomissione potrebbero creare gravi danni al funzionamento dell’azienda stessa.

Le tre competenze chiave del GDPR: legale

Non meno importante è l’aspetto legale del Regolamento, dato che si parla sempre di una normativa che prevede delle regole e misure da adottare. Capire il funzionamento dei processi aziendali, la suddivisione dei ruoli e i soggetti coinvolti nell’interno processo aziendale, sia all’interno che all’esterno:

  • agevola sicuramente l’attività di predisposizione delle informative, adeguate alle diverse finalità di trattamento;
  • comprendere chi sono le diverse figure interne che trattano dati personali all’interno (per esempio gli addetti al trattamento dei dati) e all’esterno, capendo quali figure sono da considerare responsabili esterni al trattamento e quali no;
  • evita di elaborare documentazione non necessaria o errata;
  • permette di adeguare in modo puntuale la contrattualistica aziendale, per esempio gestendo le modalità di eventuali raccolta dati e consensi, agendo tempestivamente alle evoluzioni aziendali che questo periodo storico presenta continuamente.

Conclusioni

In linea generale queste tre competenze sono da considerare alla base del GDPR.

Ma con l’evoluzione tecnologica (intelligenza artificiale, machine learning, deep learning, robotica) è facile prevedere che in futuro entrino a far parte altre competenze a supporto del GDPR.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5