Digital GDPR

Computer 1591018 1920

GDPR a colpo d'occhio

Il GDPR aumenta la privacy delle persone fisiche e fornisce alle autorità maggiore potere di azione verso le aziende che raccolgono e detengono i loro dati personali. Il GDPR richiede alle aziende di dare un’adeguata documentazione delle valutazioni che hanno portato a determinate le scelte organizzative e tecnologiche.

  1. Quali dati esistono?
  2. Chi ha l'accesso?
  3. Dove sono archiviati?
  4. Quali sono le finalità del trattamento?
  5. Quali sono le procedure?
  6. Quali le misure di sicurezza?

DocFlow Digital GDPR: le funzionalità

  • Garantire applicazione delle misure tecniche e organizzative
  • Garantire la formazione e la diffusione delle procedure
  • Distribuzione dei Ruoli e delle Responsabilità
  • Garantire la trasparenza nei confronti degli interessati e la liceità delle operazione
  • Garantire l’esercizio dei diritto dell’interessato: limitazione, rettifica, obblio, cancellazione, portabilità
  • Gestire l’analisi dei rischi e la valutazione degli impatti
  • Garantire liceità delle operazioni svolte sui dati
  • Tracciare gli incidenti e le relative comunicazioni entro i tempi previsti
  • Abilitare la vigilanza e il monitoraggio del DPO
  • Abilitare il miglioramento continuo

TIP 1| ADEGUARE GLI APPLICATIVI CON LE MISURE DI SICUREZZA PREVISTE

Le aziende che hanno svolto la DPIA, e che ancora non lo hanno fatto, possono procedere con l’adeguamento degli applicativi con le misure di sicurezza previste. Il nuovo regolamento europeo lascia al titolare del trattamento ampio margine di scelta sulle misure da applicare in base all’analisi della rischiosità dei trattamenti effettuati. Poiché si è passati dal concetto di misure minime a quello più anglosassone di Accountability, non esistono applicazioni GDPR Compliant, ma solo applicazioni GDPR Ready, ovvero pronte ad accogliere le misure necessarie come la pseudonimizzazione o la cifratura dei dati. Priorizzare e pianificare gli interventi sulla base del rischio è una best practice raccomandata.

TIP 2 | ALLINEARE I CONTRATTI DEI FORNITORI DI SERVIZI

Le aziende che non l’hanno ancora fatto, devono affrettarsi a contrattualizzare il trattamento dei dati personali gestiti dai fornitori di servizi IT in Cloud o SaaS. Non è sufficiente nominare il fornitore come responsabile del trattamento, così come spesso capita di leggere nel documento di delega. Per prima cosa è necessario analizzare i contratti in essere, catalogare le tipologie di dati gestiti e chiedersi “cosa succederebbe se …”. Dunque, eseguire una gap analysis con i requisiti previsti dal GDPR. Con i fornitori dei servizi in Cloud probabilmente si troveranno misure di sicurezza standard elevate, ma anche maggiore rigidità in caso di richiesta di ampliare la loro efficacia. Con i fornitori in SaaS si dovrà procedere con la contrattualizzazione della gestione esplicitando i dati trattati, l’ambito, la finalità, la modalità e la durata del trattamento. Il contratto deve anche indicare le modalità di comunicazione degli incidenti di sicurezza e data breach, introducendo SLA coerenti con le richieste del GDPR. Se necessario si dovrà prevedere l’adeguamento degli applicativi con le misure di sicurezza necessarie emerse durante la DPIA.

TIP 3 | INFORMATIZZARE IL REGISTRO DEI TRATTAMENTI

Excel è a buon titolo tra le migliori applicazioni software di ogni tempo e con certezza è stato d’aiuto a molte aziende nella fase di classificazione dei trattamenti. Tuttavia difficilmente sarà d’aiuto alle organizzazioni complesse nel gestire il registro dei trattamenti in modo efficiente. Terminata la prima fase, è ora di pensare all’ottimizzazione dell’intero ciclo di vita dei trattamenti. Le aziende con dimensioni ridotte possono acquistare applicazioni standard, mentre quelle di dimensioni maggiori otterranno indiscussi vantaggi nell’adozione di applicazioni ad hoc, più flessibili e in grado di adattarsi alle peculiarità della propria organizzazione. L’ingegnerizzazione del registro dovrebbe includere la digitalizzazione dei processi collaborativi di gestione (creazione e modifica di un trattamento, iter approvativo, etc.) e garantire la loro tracciatura per facilitare i futuri Audit. Il registro potrà progressivamente evolvere e integrarsi con altri processi tipici del GDPR, come ad esempio la DPIA o la gestione del diritto all’oblio. Chi ha già investito in sistemi multi-compliance dovrebbe includere e integrare il registro in modo coerente con l’intero impianto.

Tags