Digital GDPR

Computer 1591018 1920

GDPR a colpo d'occhio

Il GDPR aumenta la privacy delle persone fisiche e fornisce alle autorità maggiore potere di azione verso le aziende che raccolgono e detengono i loro dati personali. Il GDPR richiede alle aziende di dare un’adeguata documentazione delle valutazioni che hanno portato a determinate le scelte organizzative e tecnologiche.

  1. Quali dati esistono?
  2. Chi ha l'accesso?
  3. Dove sono archiviati?
  4. Quali sono le finalità del trattamento?
  5. Quali sono le procedure?
  6. Quali le misure di sicurezza?

DocFlow Digital GDPR: le funzionalità

  • Garantire applicazione delle misure tecniche e organizzative
  • Garantire la formazione e la diffusione delle procedure
  • Distribuzione dei Ruoli e delle Responsabilità
  • Garantire la trasparenza nei confronti degli interessati e la liceità delle operazione
  • Garantire l’esercizio dei diritto dell’interessato: limitazione, rettifica, obblio, cancellazione, portabilità
  • Gestire l’analisi dei rischi e la valutazione degli impatti
  • Garantire liceità delle operazioni svolte sui dati
  • Tracciare gli incidenti e le relative comunicazioni entro i tempi previsti
  • Abilitare la vigilanza e il monitoraggio del DPO
  • Abilitare il miglioramento continuo

TIP 1| ADEGUARE GLI APPLICATIVI CON LE MISURE DI SICUREZZA PREVISTE

Le aziende che hanno svolto la DPIA, e che ancora non lo hanno fatto, possono procedere con l’adeguamento degli applicativi con le misure di sicurezza previste. Il nuovo regolamento europeo lascia al titolare del trattamento ampio margine di scelta sulle misure da applicare in base all’analisi della rischiosità dei trattamenti effettuati. Poiché si è passati dal concetto di misure minime a quello più anglosassone di Accountability, non esistono applicazioni GDPR Compliant, ma solo applicazioni GDPR Ready, ovvero pronte ad accogliere le misure necessarie come la pseudonimizzazione o la cifratura dei dati. Priorizzare e pianificare gli interventi sulla base del rischio è una best practice raccomandata.

TIP 2 | ALLINEARE I CONTRATTI DEI FORNITORI DI SERVIZI

Le aziende che non l’hanno ancora fatto, devono affrettarsi a contrattualizzare il trattamento dei dati personali gestiti dai fornitori di servizi IT in Cloud o SaaS. Non è sufficiente nominare il fornitore come responsabile del trattamento, così come spesso capita di leggere nel documento di delega. Per prima cosa è necessario analizzare i contratti in essere, catalogare le tipologie di dati gestiti e chiedersi “cosa succederebbe se …”. Dunque, eseguire una gap analysis con i requisiti previsti dal GDPR. Con i fornitori dei servizi in Cloud probabilmente si troveranno misure di sicurezza standard elevate, ma anche maggiore rigidità in caso di richiesta di ampliare la loro efficacia. Con i fornitori in SaaS si dovrà procedere con la contrattualizzazione della gestione esplicitando i dati trattati, l’ambito, la finalità, la modalità e la durata del trattamento. Il contratto deve anche indicare le modalità di comunicazione degli incidenti di sicurezza e data breach, introducendo SLA coerenti con le richieste del GDPR. Se necessario si dovrà prevedere l’adeguamento degli applicativi con le misure di sicurezza necessarie emerse durante la DPIA.

TIP 3 | INFORMATIZZARE IL REGISTRO DEI TRATTAMENTI

Excel è a buon titolo tra le migliori applicazioni software di ogni tempo e con certezza è stato d’aiuto a molte aziende nella fase di classificazione dei trattamenti. Tuttavia difficilmente sarà d’aiuto alle organizzazioni complesse nel gestire il registro dei trattamenti in modo efficiente. Terminata la prima fase, è ora di pensare all’ottimizzazione dell’intero ciclo di vita dei trattamenti. Le aziende con dimensioni ridotte possono acquistare applicazioni standard, mentre quelle di dimensioni maggiori otterranno indiscussi vantaggi nell’adozione di applicazioni ad hoc, più flessibili e in grado di adattarsi alle peculiarità della propria organizzazione. L’ingegnerizzazione del registro dovrebbe includere la digitalizzazione dei processi collaborativi di gestione (creazione e modifica di un trattamento, iter approvativo, etc.) e garantire la loro tracciatura per facilitare i futuri Audit. Il registro potrà progressivamente evolvere e integrarsi con altri processi tipici del GDPR, come ad esempio la DPIA o la gestione del diritto all’oblio. Chi ha già investito in sistemi multi-compliance dovrebbe includere e integrare il registro in modo coerente con l’intero impianto.

TIP 4 | ADEGUARE E DIGITALIZZARE I PROCESSI SPECIFICI PER LA GESTIONE DEL GDPR

Ora che hai determinato le politiche e le policy della privacy puoi dedicarti ai singoli processi a supporto della gestione del GDPR, verificando i gap da colmare per mitigare la rischiosità. Segui i seguenti passi: 1. Delinea i processi necessari alla gestione della privacy nel rispetto del GDPR. 2. Seleziona gli strumenti atti alla loro implementazione nel rispetto degli ambiti “naturali” delle piattaforme esistenti e di ottimizzazione dei costi interni di sviluppo e di gestione. 3. Fissa i requisiti funzionali necessari a implementare i processi informatici GDPR. 4. Stabilisci la roadmap progettuale per l’implementazione dei processi a supporto del GDPR. Qualora i processi che hai delineato non possano essere supportati dagli applicativi già in uso, puoi prendere in considerazione di velocizzarne l'implementazione utilizzando gli strumenti di Business Process Management (BPMS) presenti in azienda.

TIP 5 | ASSICURATI DI AVER CONSIDERATO TUTTI I CANALI DI COMUNICAZIONE

Molto probabilmente per censire i dati personali oggetto dei trattamenti avrai coinvolto tutti i Process Owner presenti in azienda. Ti sarai così accorto che le duplicazioni e le ridondanze dei dati sono due grossi problemi che nascono dalla discontinuità tra i canali di comunicazione interni ed esterni. Assicurati di averli individuati tutti. Ad esempio: - hai considerato TUTTE le caselle #PEC? Chi ha le password di accesso? Perché le ha? Quali dati vi transitato e quali potrebbero transitare? Come previeni i rischi operativi collegati? - hai considerato la conservazione dei documenti elettronici? Quali DATI PERSONALI conservi? Come cancelli quelli che non ti servono più? Fai una check-list, la più completa possibile, e poi rivedi in modo critico il tuo registro dei trattamenti.

TIP 6 | RENDI OPERATIVO IL PRINCIPIO DI PRIVACY BY DESIGN

Il regolamento prescrive un approccio by design e by default, ovvero di pensare a quali accorgimenti inserire in fase di disegno dei processi per garantire la privacy quando questi saranno eseguiti. Per integrare la privacy in modo indissolubile nei tuoi processi rivedi il modo in cui gestisci i cambiamenti organizzativi, ma anche quelli tecnologici. Fai l’elenco di tutti i possibili eventi che portano cambiamento e verifica che siano previsti dei punti di controllo per determinare se è necessaria o meno una DPIA. Teniamo sempre a mente che una seppur semplice modifica al sistema informativo può inficiare il modello di gestione privacy e le misure di sicurezza già in campo.

Tags