MISURE ORGANIZZATIVE E TECNICHE del GDPR

Un’opportunità per ripensare alla sicurezza dei dati personali

Il Regolamento generale sulla protezione dei dati (GDPR) è la revisione più significativa della legislazione sulla protezione dei dati dell’Unione europea (UE) in oltre 20 anni. 

Questo perchè la norma supera il concetto di “adempimento formale” richiedendo che sia il titolare del trattamento del dato a scegliere la misura più adeguata alla al proprio contesto. Tutto ciò in ossequio al principio di accountability, “responsabilizzazione” di chi gestisce e acquisisce dati personali per propri fini ed interessi.

Il GDPR impone, quindi, che il titolare del trattamento del dato debba definire una politica di trattamento del dato personale connesso all’attività dell’azienda con l’individuazione di:

  • MISURE ORGANIZZATIVE: adempimenti, attività, metodi che consentano la corretta lecita e trasparente acquisizione del dato e la corretta gestione del dato stesso da parte dei dipendenti e collaboratori dell’azienda;
  • MISURE TECNICHE: strumenti e metodi che consentano una corretta conservazione del dato acquisito, per porlo al sicuro da una eventuale perdita o illecita intrusione.

La legge

L’art 25 del GDPR richiede la creazione “sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso” di misure tecniche e organizzative adeguate, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche”.

Ciò significa che la legge affida al titolare la scelta delle misure attraverso cui creare una adeguata gestione del dato personale, affidandogli l’individuazione della giusta strada per rispettare il principio “data protection by default and by design”.

Data protection by default and by design

Garantire l’attuazione di questo principio significa:

  • configurare il trattamento del dato personale prevedendo fin dall’inizio gli strumenti idonei a realizzare le garanzie indispensabili degli interessati;
  • scegliere misure di sicurezza tenendo conto del contesto complessivo e dei rischi per i diritti e le libertà degli interessati che si presentano nel caso specifico;
  • prevedere ed attuare le misure già da prima di procedere al trattamento dei dati.

Come individuare le misure più adeguate per protezione dei propri dati?

L’approccio più efficiente per scegliere le misure adeguate è quello basato sull’analisi dei rischi.

Il titolare del dato deve fare un’analisi dei rischi in cui incorrerebbe perdendo i propri dati e, sulla base dei risultati dell’analisi, deve scegliere le misure più adeguate a scongiurare le conseguenze della perdita stimata.

Più specificamente, si valutano i rischi da affrontare considerando: 

  • la probabilità che si verifichi un evento specifico (ad esempio che un nostro archivio venga violato) 
  • l’impatto che l’evento può causare (ad esempio la possibilità che la persona i cui dati sono stati resi pubblici possa farci causa). 

Il risultato determina la significatività attribuita a ciascun rischio.

Strumenti per effettuare un’analisi dei rischi

Gli standard internazionali di riferimento per il Risk Management, come l’ISO/IEC 27005, il framework di ENISA (European Network and Information Security Agency) e CNIL (Commission nationale de l’informatique et des libertés, l’Autorità francese per la protezione dei dati) rappresentano dei punti di riferimento fondamentali per la  valutazione dei rischi e la conseguente scelta delle misure di sicurezza.

https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing

https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

Vantaggi dell’approccio basato sul rischio 

Le organizzazioni possono utilizzare questo approccio 

  • per aumentare le difese informatiche nelle aree prioritarie, 
  • per ridurre la sicurezza laddove il livello di rischio non giustifica i controlli di sicurezza che possono limitare le prestazioni aziendali.

Dopo aver identificato e classificato i rischi, le organizzazioni possono mitigare i rischi più gravi per la sicurezza dei dati implementando una strategia di sicurezza che protegga i dati con strumenti tecnologici, l’adozione di politiche generali da applicare in tutti i processi aziendali, la previsione di un piano di formazione a tutti i livelli.

L’adeguamento alla normativa GDPR non è solo un costo

Un’azienda, spinta dall’esigenza di mettersi in regola con il GDPR, ha l’occasione di  procedere ad una vera analisi della sicurezza della gestione dei propri dati, ottenendo l’indubbio vantaggio di misurare la propria capacità nella gestione dei dei dati legati alle proprie attività, minimizzando i rischi di perdita e violazione e ottimizzando i flussi di dati tra i vari sistemi aziendali. 

Tutto questo perchè, anche senza considerare le pesanti sanzioni (il 4% del fatturato annuo), una violazione dei dati comporta gravi conseguenze finanziarie, operative e reputazionali per un’azienda o un’organizzazione.

Come lavora lo Studio Associato Corigliano & Porfido? 

Il nostro metodo multidisciplinare, insieme tecnico e giuridico, consente la corretta analisi dell’azienda e l’individuazione delle misure organizzative e tecniche più adeguate alla singola realtà aziendale, attraverso la scelta di una politica di trattamento del dato, l’individuazione dei sistemi di sicurezza più efficaci e la formazione del personale. 

Analisi del rischio e soluzioni organizzative mirate e personalizzate sono il miglior modo per raggiungere i risultati duraturi ed economici che trasformano un obbligo di legge in un’opportunità di crescita.

Lascia un commento