Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

SOLUZIONI PRIVACY

Sistema di gestione privacy come modello per il controllo dei dati personali: una proposta operativa

Un sistema di gestione e controllo dei dati, sostanziale e strettamente interconnesso alle attività dell’organizzazione, costituisce un efficace strumento nell’attività di protezione dei dati personali, nella loro valorizzazione e nella tutela dell’intero del patrimonio informativo. Ecco come implementarlo

03 Gen 2020
S
Daniele Santucci

Privacy Officer, consulente privacy e auditor, Delegato Provinciale Federprivacy


Le nuove norme in materia di protezione dei dati personali impongono modalità operative concrete e lontane dai formalismi del mero adempimento normativo: di conseguenza, l’utilizzo di un sistema di gestione privacy costituisce un efficace strumento utile non solo per la messa in sicurezza dei dati, ma anche per la loro valorizzazione e la tutela dell’intero del patrimonio informativo aziendale.

Sistema di gestione privacy e accountability

Alle organizzazioni spetta l’onere di dimostrare la propria diligenza perseguendo gli obiettivi di conformità normativa su base autonoma, responsabile e documentata attraverso l’implementazione di un complesso di misure di sicurezza in grado di proteggere, nel tempo, i dati personali.

In più occasioni è stato osservato che, nel confronto con le responsabilità richieste dalle nuove norme europee, il corretto atteggiamento deve essere sostanziale e pragmatico, lontano dall’adempimento documentale formale, rigido e burocratico.

Ciò comporta, indubbiamente, uno sforzo ulteriore rispetto al passato, soprattutto per le organizzazioni meno abituate alle norme di matrice europea. I principi del Regolamento UE 679/2016 (GDPR) devono tradursi in prassi operative, controlli e comportamenti efficaci, assumendosi la responsabilità delle scelte.

Si tratta dell’oramai noto principio di accountability: Titolari e Responsabili devono saper progettare e implementare misure di sicurezza pertinenti alla propria realtà organizzativa, ai rischi connessi al trattamento, funzionali agli obiettivi di protezione dei dati e del rispetto del Regolamento.

Il modello organizzativo deve essere efficiente e flessibile, un vero e proprio strumento operativo in grado di sostenere l’impianto di protezione dei dati e rappresentare adeguatamente, alle autorità ed alle parti interessate, le capacità e l’attitudine dell’intera organizzazione alla valorizzazione e tutela del patrimonio informativo.

Sistema di gestione privacy: strutturare il modello organizzativo

Sono da tempo tramontati i giorni dei documenti programmatici redatti seguendo il puntuale dettato normativo. Sebbene molti di questi documenti, opportunamente riadattati e aggiornati, rappresentino ancora oggi un eccellente strumento di compliance nella nuova era della data protection (e questo perché le organizzazioni più attente hanno ritenuto utile mantenerli in vita, traendone vantaggio) per molte realtà i DPS sono oramai seppelliti da anni, più meno da quando è venuto meno l’obbligo di redigerli.

Di fatto trascinando nell’oblio anche le misure di sicurezza che questi documenti dovevano rappresentare, organizzare e sostenere, condannando di conseguenza le organizzazioni meno accorte (e non solo le PMI, strette nella morsa della competizione e della crisi economica, ma anche entità pubbliche o imprenditoriali più complesse) ad una pericolosa perdita di attenzione alle questioni della data protection e, più in generale, della sicurezza informatica, della sicurezza delle informazioni e della tutela del patrimonio informativo.

Asset critici, questi, che nel frattempo continuano inesorabilmente a migrare su piattaforme digitali di ogni genere, locali e in outsourcing, e che, sempre inesorabilmente, diventano oggetto di attacchi informatici sempre più aggressivi e sofisticati.

A farne le spese le stesse organizzazioni che, ancora oggi, continuano a marcare un preoccupante ritardo sulla delicata questione della cultura della sicurezza dei dati e sui temi della cyber security.

Va anche detto che molte realtà non si sono fatte sorprendere e hanno adattato fin da subito modelli di gestione delle informazioni già esistenti (ad esempio gli standard della famiglia ISO / IEC 27701 sulla sicurezza delle informazioni) adeguandoli ai nuovi requisiti e ricavando un vantaggio significativo dalla familiarità con i concetti di valutazione del rischio e con i principi di riservatezza, integrità e diponibilità dei dati.

Opportunità che oggi consente loro di approcciarsi con sicurezza alle evoluzioni degli stessi standard, che hanno avviato da qualche tempo un processo di integrazione con i nuovi requisiti privacy[1].

Più frequentemente Titolari e Responsabili hanno affrontato la questione adottando soluzioni molto eterogenee, più meno strutturate (dai fagli di calcolo a complessi database relazionali), sia di natura commerciale che basate su realizzazioni proprietarie, progettate sotto la guida dai consulenti e avvalendosi le numerose guide ed indicazioni disponibili (del Garante Privacy italiano innanzitutto, ma anche delle altre autorità di controllo, alcune molto attive nel sostegno alle organizzazioni)[2].

Tra le tante soluzioni di compliance, proviamo ad analizzare i vantaggi offerti da un approccio “di sistema” nella strutturazione di un modello organizzativo di protezione dei dati, flessibile e adatto ad organizzazioni di diversa dimensione, a partire da Micro Imprese e PMI.

La logica di un sistema di gestione privacy

La discrezionalità offerta dal principio di responsabilizzazione rappresenta una preziosa opportunità che può essere colta attraverso la scelta, libera e consapevole, di un modello di gestione attinente alle reali esigenze organizzative ed alla complessità dei trattamenti. Un sistema di gestione rientra di sicuro tra queste opzioni.

Un sistema è inteso come insieme delle procedure e dei processi organizzativi funzionali al soddisfacimento di requisiti definiti. È uno strumento di carattere organizzativo e gestionale utilizzato per rispettare, in modo visibile e dimostrabile, i criteri ed i requisiti della previsti dalla norma di riferimento. Presenta fisiologiche caratteristiche di dinamicità, flessibilità e capacità di miglioramento.

Non a caso il sistema di gestione è lo strumento privilegiato per dimostrare la conformità, tramite l’ottenimento di una certificazione, a numerose norme volontarie, spesso basate su standard internazionali (qualità, sicurezza delle informazioni, ambiente, responsabilità sociale ecc.). Quando ben implementato è un potente strumento di gestione e miglioramento dei processi, a beneficio dell’incremento della competitività nello sviluppo, commercializzazione, erogazione di prodotti, servizi e competenze e via dicendo.

Nel definire un modello di gestione privacy si può trarre grande vantaggio dall’applicazione di una logica “di sistema”. Senza dover necessariamente ambire all’ottenimento di una vera e propria “certificazione privacy” (settore in notevole fermento che sta già offrendo, ed offrirà, notevoli opportunità) l’adozione di un metodo sistemico consentirà a Titolari e Responsabili di soddisfare gli obblighi di legge dotandosi di un prezioso strumento di lavoro: il sistema di gestione privacy.

Sistema di gestione privacy: il metodo

Il metodo applicato nello sviluppo del sistema di gestione è quello circolare del Plan-Do-Check-Act (Pianificazione-Esecuzione-Controllo-Correzione e miglioramento, o Ciclo di Deming), che assicura il monitoraggio ed il miglioramento continuo dei processi e delle procedure.

WHITEPAPER
Cybersecurity: come superare efficacemente le vulnerabilità delle tecniche di Intelligenza Artificia
IoT
Sicurezza

Il metodo prevede che il sistema sia pianificato, implementato, controllato. I risultati dei controlli (es risultati di audit periodici) saranno valutati e costituiranno azione di miglioramento, attraverso, ove necessario, al ritorno tavolo della pianificazione.

Applicato alla protezione dei dati personali diventa prassi di miglioramento delle modalità di trattamento dei dati, delle misure di sicurezza e dello stesso sistema di gestione privacy.

Una sorta di circolo virtuoso che si addice perfettamente ai requisiti dell’articolo 32 del GDPR dove sono richieste “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” e “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.

Questi controlli su base permanente sono una condizione di molti requisiti del Regolamento, vediamo i principali:

  1. Valutazioni dell’ambito di applicazione, del contesto e delle finalità del trattamento (art 24, par 1). Queste valutazioni consentono di definire l’ambito di trattamento e sono particolarmente importanti per le organizzazioni che hanno avviato nuove attività o strategie che hanno impatto sul trattamento dei dati personali (es videosorveglianza, direct marketing, servizi web, geolocalizzazione, applicazioni ecc.); che non presidiano da diverso tempo gli adempimenti privacy; che per motivi diversi hanno subito un disallineamento dei processi interni (a causa di crescite o contrazioni, riorganizzazioni, ridefinizione degli obiettivi ecc.); che hanno mutato le proprie modalità operative, esternalizzando alcuni servizi, o affidandosi a sistemi evoluti di gestione dei dati e delle informazioni (nuove tecnologie, cloud computing, strumenti di geolocalizzazione, uso di dati biometrici ecc.).
  2. Valutazione del rischio, da cui derivano le misure di sicurezza messe in atto (art 24, par 1 e art 32), che necessitano revisione periodica a fronte dei cambiamenti interni (del contesto) o esterni (evoluzione delle minacce, richieste della committenza, cambiamenti del mercato di riferimento ecc.).
  3. Protezione per impostazione predefinita (art 25). La privacy “by default”, per definizione, implica il costante presidio dell’efficace attuazione dei principi di protezione dei dati.
  4. Controllo in vigilando del mantenimento delle garanzie offerte dai Responsabili del trattamento (art 28) e della pertinenza delle istruzioni fornite rispetto al risultato atteso (art 29).
  5. Della gestione delle violazioni dei dati personali (art 33 e 34), adottando procedure, criteri e metodologie di valutazione delle probabilità di rischio pertinenti, aggiornate e funzionali all’obiettivo di prevenzione della violazione affinché non avvenga o non si ripeta. In merito, il parere dell’EDPB è prezioso e lungimirante nel concepire la gestione della violazione nel quadro di un progetto complessivo di conformità.
  6. Valutazioni di impatto (art 35 par.11) che devono essere sottoposte a riesame qualora insorgano significative variazioni di rischio. Non di meno, al pari della gestione delle violazioni, devono essere monitorati ed eventualmente migliorate le metodologie di valutazione, tra le molte disponibili, affinché risultino efficaci e pertinenti all’obiettivo di protezione.

Queste caratteristiche di permanenza, resilienza e continuità attengono alla capacità dell’organizzazione di non perdere di vista l’obiettivo di protezione e di mantenere efficiente nel tempo il complesso di misure di sicurezza adottato, migliorandolo se e quando necessario. In questo senso la forza dello strumento “sistema” risiede nell’obbligo, autoregolamentato, documentato e quindi perfettamente accountability, del monitoraggio e del miglioramento continuo effettuato sulla base dei risultati di controlli sistematici.

Sistema di gestione privacy: il risk-based thinking

L’approccio basato sul rischio suggella definitivamente i rapporti tra data protection e sistemi di gestione. Il concetto di rischio si pone alla base di qualsiasi attività di protezione dei dati, a partire dalla progettazione e revisione delle misure di sicurezza e dalla conduzione delle valutazioni di impatto.

L’approccio basato sul rischio è alla base dei sistemi di gestione privacy di nuova generazione, perché “permette all’organizzazione di determinare i fattori che potrebbero fare deviare i suoi processi e il suo sistema di gestione […] dai risultati pianificati, di mettere in atto controlli preventivi per minimizzare gli effetti negativi e massimizzare le opportunità, quando esse si presentano”[3].

In termini di valorizzazione dei dati rappresenta il criterio di valutazione delle opportunità connesse all’utilizzo dei dati nel quadro dello sviluppo e del miglioramento dei servizi, quelli digitali ed innovativi in particolare. Ciò si pone in linea con le intenzioni del legislatore europeo, i cui numerosi interventi sono focalizzati all’incremento della fiducia nel mercato digitale[4].

Il sistema di gestione privacy: a cosa serve

Il sistema di gestione privacy è il modello di gestione, organizzazione e controllo che governa il trattamento in sicurezza dei dati personali ed il rispetto dei principi e delle regole delle normative di riferimento.

Per sistema di gestione privacy e si intendono la struttura organizzativa, le responsabilità, i documenti, le procedure, i registri, le misure di sicurezza e le risorse messe in atto dall’organizzazione per pianificare, implementare, mantenere e migliorare un sistema gestione e controllo.

Il sistema ha lo scopo di:

  • definire il contesto del trattamento;
  • individuare e classificare le risorse e gli strumenti impiegati nel trattamento;
  • identificare e gestire i rischi connessi al trattamento;
  • incrementare la competenza e la consapevolezza del personale riguardo la sicurezza ed i rischi connessi al trattamento dei dati personali;
  • applicare i principi e le regole imposte delle normative nazionali ed europee;
  • incrementare la fiducia dei clienti, dei partner e dei portatori di interesse;
  • rafforzare l’immagine e migliorare la competitività dell’organizzazione.

Struttura del sistema di gestione privacy

Nell’organizzare il sistema ci si può avvalere della logica della Struttura ad Alto Livello (High Level Structure) stabilita dalle direttive ISO[5] quale standard di riferimento per i nuovi sistemi di gestione. Si tratta di uno standard al quale tutti i requisiti e linee guida dei sistemi di gestione stanno aderendo, via via che ne vengono emesse le nuove versioni[6].

La struttura può essere organizzata come una sorta di contenitore, composto da cartelle di rete, sezioni dell’applicativo di gestione degli adempimenti privacy, capitoli dei manuali di gestione o tutti questi elementi insieme. Ogni elemento conterrà i documenti, i registri, le procedure che compongono il sistema.

Sulla base della Struttura ad Alto Livello, il sistema di gestione privacy potrà essere progettato come segue. Si tratta ovviamente di una traccia operativa, che può essere liberamente sviluppata anche avvalendosi delle specifiche e dei requisiti dei recenti standard come la ISO/IEC 27701:2019[7] o la UNI/PdR 43.

0. introduzione

In questa sezione sono fornite le informazioni preliminari, la presentazione dell’organizzazione, le attività ed i servizi principali, la mission, le strategie ecc. Le notizie utili, ovvero, a conoscere il Titolare o il Responsabile del trattamento, anche avvalendosi di collegamenti esterni (siti web, carta dei servizi ecc.)

1. scopo del sistema

Sono dichiarati gli scopi del sistema, afferenti alla protezione dei dati ed al rispetto dei requisiti di legge.

2. Riferimenti normativi

In questa sezione possono essere raccolte le norme specifiche applicabili all’organizzazione riferite alle attività di trattamento, indicando anche gli eventuali provvedimenti, autorizzazioni, codici deontologici, linee guida, opinioni dell’EDPB rilevanti eccetera. Questa ricognizione, aggiornata periodicamente e ad ogni occorrenza (ad esempio a seguito di nuove emanazioni dell’autorità) sarà utile per tenere traccia dell’evoluzione delle leggi e della loro corretta interpretazione.

Qui si raccoglieranno anche le norme di riferimento che regolano l’attività del Titolare o del Responsabile, incluse quelle volontarie (statuti, regolamenti, norme di settore, schemi di certificazione ecc.).

3. Termini e definizioni

Non è necessario riscrivere tutte le definizioni dell’art 4 del GDPR. È invece utile fornire la definizione di termini specifici o tecnici, ricorrenti nei documenti del sistema (ad esempio termini informatici o relativi allo specifico settore di appartenenza dell’organizzazione) affinché la lettura sia comprensibile e con il minimo il ricorso a fonti esterne o richieste di chiarimento. Ciò facilita il lavoro delle parti terze destinatarie della documentazione, autorità di controllo incluse.

4. Contesto dell’organizzazione

Si tratta di una sezione di grande importanza poiché definisce e delimita l’ambito del trattamento effettuato dal Titolare o dal Responsabile. Qui sono descritte la natura e le finalità dei trattamenti di dati personali relativi alle categorie di interessati a cui i trattamenti si riferiscono, effettuati in relazione alle attività ed al contesto operativo dell’organizzazione. Sono individuati gli adempimenti normativi specifici dell’organizzazione e chiariti i ruoli chiave, ovvero se si sta operando come Titolare o Responsabile del trattamento in relazione ai trattamenti effettuati. Queste informazioni saranno sviluppate nel Registro dei trattamenti, nelle modalità richieste dall’art 30 del GDPR.

Nell’analisi del contesto è molto utile riportare gli elementi che hanno influenza nelle attività di trattamento: il mercato o il settore di riferimento dell’organizzazione, i processi che presentano criticità in termini di protezione dei dati, la scala del trattamento, l’utilizzo di particolari tecnologie, le aspettative delle parti interessate (committenti, clienti, utenti, dipendenti, Titolari, contitolari, partner ecc.), le contingenze che derivano della concorrenza o dalle opportunità offerte dall’innovazione digitale che hanno incidenza nelle modalità di trattamento (ad esempio necessità di rinnovamento tecnologico, utilizzo di piattaforme digitali, ricorso a strategie di marketing più aggressive ecc.).

5. Leadership / Ruoli e responsabilità

Sono qui individuate le funzioni ed i soggetti che trattano i dati personali o che hanno responsabilità dirette nella gestione dei sistemi di trattamento e nell’applicazione del Sistema di Gestione Privacy. In questa sezione trova spazio l’organigramma/funzionigramma e l’elenco dei ruoli e delle responsabilità, tra cui:

  • soggetti autorizzati / designati, con i riferimenti dei compiti e delle funzioni ad essi attribuiti, tra cui eventuali incarichi che richiedono speciali istruzioni (es. custodia dei backup, al controllo degli accessi ad archivi / aree sensibili, custodia di particolari credenziali di accesso o copie di chiavi crittografiche ecc.);
  • Responsabili IT e Amministratori di Sistema, interni o esterni, declinando le funzioni ad essi attribuite;
  • Responsabile della Protezione dei Dati, indicando le ragioni della nomina, se effettuata su base volontaria o, al contrario, le motivazioni che non l’hanno resa necessaria;
  • Responsabili del trattamento ed i relativi accordi e procedure di individuazione e controllo.

6. Pianificazione

Il luogo ideale per raccogliere i criteri e le metodologie di valutazione del rischio, di valutazione di impatto e di gestione delle violazioni. Si possono richiamare metodologie note, quando pertinenti alle esigenze di valutazione, come quella ENISA (European Union Agency For Network and Information Security) per la gestione del rischio[8] o della valutazione della gravità delle violazioni[9], oppure del CNIL, Garante francese ( Commission nationale de l’informatique et des libertés) per la gestione delle valutazioni di impatto. Oppure descrivere il modello, proprietario o commerciale o basato su altri standard di gestione, di cui si è scelto di avvalersi. Inutile ricordare che questo lavoro di pianificazione, in un modello di gestione risk-based thinking, costituisce uno dei primi passi in termini di responsabilizzazione.

7. Supporto

Questa sezione raccoglie la descrizione degli asset impiegati nel trattamento: sistemi informatici, banche dati, servizi digitali, archivi, locali e stabilimenti. Già da ora si possono applicare alle risorse i criteri di valutazione del rischio.

Le persone che compiono operazioni di trattamento rientrano nel novero di questi asset strategici. La loro competenza e consapevolezza è fondamentale per assicurare una adeguata protezione dei dati: in questa sezione, pertanto, si raccolgono le attività formazione, pianificate ed effettuate, le procedure che le governano, i risultati delle attività, gli attestati, i materiai formativi (regolamenti, disciplinari ecc.).

8. Attività operative di trattamento

Il cuore del Sistema di Gestione Privacy, dove sono documentate l’insieme delle operazioni di trattamento, delle attività di protezione dei dati, delle azioni poste a tutela degli interessati e dei loro diritti.

Qui sono raccolti i documenti di privacy compliance oppure i riferimenti alla disponibilità di queste informazioni su altre piattaforme di gestione degli adempimenti privacy. Eccone un elenco, non esaustivo:

  • registri dei trattamenti;
  • valutazioni del rischio;
  • misure di sicurezza in essere, pianificate, ed in corso di adozione, con il riferimento alle informazioni di supporto (documenti tecnici, procedure, istruzioni operative, LOG informatici dei sistemi di protezione, registri degli accessi ecc.). Sono qui preziosissimi i controlli proposti dalla ISO/IEC 27701:2019, adeguatamente applicati ai ruoli (attività di Titolare e/o Responsabile) ed alle necessità di sicurezza dei trattamenti effettuati;
  • registri delle violazioni;
  • valutazioni di impatto e le relative procedure;
  • piani di data retention;
  • documentazione relativa ai rapporti con gli interessati (informative sul trattamento, procedure di gestione dell’esercizio dei diritti e di gestione dei consensi ecc.);
  • documentazione di supporto relativa a specifiche attività di trattamento (es relazioni tecniche, valutazioni preliminari, autorizzazioni ecc. ad esempio riferite a sistemi di videosorveglianza, localizzazione satellitare, particolari dispositivi tecnologici, attività di profilazione ecc.).

9. Monitoraggio e valutazione

L’attività di controllo del sistema viene condotta principalmente con lo strumento dell’audit.[10] Sono quindi presi in esame:

  • i risultati di audit privacy precedenti;
  • i risultati della valutazione dei rischi;
  • i risultati delle valutazioni di impatto;
  • le registrazioni riferite alle violazioni dei dati personali, notificate o meno;
  • le segnalazioni di non conformità (anche provenienti da audit su eventuali altri sistemi di gestione e pertinenti alla protezione die dati personali);
  • i reclami degli interessati ed azioni di esercizio dei diritti;
  • i risultati delle attività di revisione ed aggiornamento delle misure di sicurezza e le valutazioni riguardo i controlli effettuati;
  • la valutazione delle segnalazioni ricevute, interne ed esterne all’organizzazione;
  • i nuovi pareri, opinioni, linee guida ed emanazioni delle autorità.

Sono qui documentate le procedure di conduzione dell’audit e raccolte le informazioni necessarie ad avviare le attività di riesame e correzione. Anche in questa fase sarà molto utile avvalersi della lista dei controlli ISO/IEC 27701:2019 come traccia di riferimento per il monitoraggio dello stato di implementazione delle misure di sicurezza. Sono inoltre raccolti i pareri le opinioni delle parti interessate (direzione, funzioni responsabili, consulenti, DPO / ufficio privacy, Amministratori di sistema, Chief Security e Information Officer ecc.).

10. Miglioramento

Il miglioramento è documentato attraverso un Piano di miglioramento, che raccoglie le azioni da intraprendere, la relativa tempistica, l’impiego di risorse, i costi, le responsabilità e le altre valutazioni del caso allo scopo di risolvere le criticità rilevate in fase di monitoraggio, affinché ne siano eliminate le cause e non se ne ripresentino le condizioni.

Le azioni correttive che risultano dal piano di miglioramento servono ad rivedere ed aggiornare i processi e le modalità trattamento, tra cui l’applicazione dei principi e la scelta delle corrette basi giuridiche, i criteri precedentemente pianificati, le valutazioni del rischio di impatto (l’applicazione di misure di sicurezza rafforzate modificherà i parametri di vulnerabilità alle minacce), le procedure e le istruzioni di trattamento, la distribuzione delle responsabilità, le modalità di risposta ai diritti degli interessati.

Integrazione dei sistemi

L’obiettivo di normalizzazione perseguito dalla logica della Struttura ad Alto Livello favorisce la compatibilità e l’integrazione tra i diversi sistemi di gestione, facilitandone il dialogo. Il sistema di gestione privacy che rispetta questa struttura potrà essere allineato, nelle parti ove questo risulta possibile, con altri sistemi di gestione compatibili (ad esempio es qualità o sicurezza delle informazioni).

Si eviteranno inutili ridondanze e repliche di documenti e procedure, che potranno essere facilmente integrati nei contenuti (ad esempio utilizzando una unica procedura per attività comuni, come la gestione dei fornitori responsabili del trattamento, delle attività formative, delle attività di audit e revisione ecc.).

Intellegibilità dei modelli organizzativi

I modelli organizzativi e di controllo devono adeguarsi ai nuovi rapporti, quelli tra Titolari e Responsabili, oggetto negoziazione e ridefinizione secondo le regole del GDPR: utilizzare un linguaggio comprensibile nel documentare gli adempimenti e le prassi concordate rappresenta un sicuro vantaggio per entrambi. Ad esempio avvalendosi di procedure strutturate secondo un criterio condiviso o standardizzato, oppure nel rendere trasparenti o condividere i criteri di valutazione del rischio e di impatto sulla protezione dei dati o di valutazione della gravità delle violazioni.

I modelli devono anche adeguarsi all’orizzonte internazionale dei requisiti: i committenti, le società capogruppo, o i contitolari al trattamento, potrebbero chiedere all’organizzazione di rappresentare la propria conformità al GDPR, ad esempio nel contesto di un capitolato di appalto che prevede specifici requisiti di compliance, oppure nel quadro delle attività di coordinamento e armonizzazione degli adempimenti tra le società di una multinazionale. In tutti questi casi il sistema di gestione privacy, strutturato secondo criteri standard, può offrire queste caratteristiche di trasparenza, flessibilità ed intellegibilità.

NOTE

  1. Su tutti il recente standard ISO / IEC 27701 (Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines).
  2. Ad esempio il CNIL mette a disposizione un “toolkit”, ICO offre una ricca sezione di risorse per le organizzazioni.
  3. ISO 9001:2015, Introduzione
  4. Oltre al GDPR: la Direttiva 2002/58/C (ePrivacy), il Regolamento UE 2018/1807 (Regolamento FFD), la Direttiva UE 2016/1148 (Direttiva NIS), il Regolamento UE 2019/881 (Cybersecurity Act)
  5. Direttive ISO/IEC, Parte 1, supplemento ISO Consolidato, Annesso SL, Appendice 2
  6. Come lo standard ISO / IEC 27701, che nella clausola 5 riprende la Struttura ad Alto Livello ereditata dalla versione 2013 della ISO/IEC 27001. Oppure lo standard BS 10012:2017, Data protection – Specification for a personal information management system, pubblicato dall’ Organizzazione Britannica di Standardizzazione (British Standards Institution), per lo sviluppo ed il funzionamento di un sistema di gestione per la protezione dei dati allineato ai principi del GDPR, elaborato secondo la struttura HLS.
  7. Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines. In proposito si menziona anche l’articolo: ISO 27701 per la protezione dei dati personali: realizzare un Privacy Information Management System.
  8. ENISA Guidelines for SMEs on the security of personal data processing, 2016 e Handbook on Security of Personal Data Processing, 2017
  9. ENISA Recommendations for a methodology of the assessment of severity of personal data breaches, 2013
  10. In merito: Emegian F., Perego M., PRIVACY & AUDIT. Wolters Kluewer, 2019
EVENTO
Tutto quello che c'è da sapere sulla Cloud migration. Scopri specificità, opportunità e ingredienti

@RIPRODUZIONE RISERVATA

Articolo 1 di 5