Il countdown per il GDPR è finito. Ormai ci siamo. Dal 25 maggio scorso il General Data Protection Regulation (GDPR) è pienamente applicabile in tutti gli Stati dell'Unione Europea. Molte aziende hanno già avviato le procedure di assessment ma non tutto è finito. La protezione dei dati personali, infatti, non è un processo statico ma una sequenza continua in cui strategie, tecnologie e processi sono soggetti a revisioni più o meno consistenti e periodiche.

L'assessment GDPR è la fase preliminare della procedura di adeguamento al Regolamento Generale sulla Data Protection. Questa attività, condotta attraverso strumenti di auto-assessment (operata da team interni), assessment online (strumenti generali, disponibili sul web) o delegata a partner esterni specializzati, restituisce la fotografia del livello di maturità dell'organizzazione in ottica GDPR in un dato momento ("as is") e mette in luce le lacune da colmare per garantirsi la compliance (gap analysis).

L'assessment GDPR dovrebbe permettere all'organizzazione o, meglio, al Titolare del trattamento, di comprendere alcuni assunti fondamentali:

  • Dove sono gestiti i dati dell'organizzazione?
  • I dati sono tutti gestiti in luoghi (fisici o in cloud) altamente sicuri e all'interno dei confini dell'Unione Europea?
  • Come è possibile adeguare l'infrastruttura fisica per garantire la compliance al GDPR?
  • Sono in grado di prevenire il rischio di data breach, cioè della violazione, divulgazione, perdita, modifica o accesso non autorizzato ai dati personali trattati dall'azienda?
  • Sono in grado, in caso di data breach, di notificarlo all'autorità competente ed espletare le attività di contenimento/remediation nelle 72 ore successive?

 

L'assessment GDPR dovrebbe consentire al Titolare del trattamento di comprendere tutti gli elementi della protezione dei dati personali: non si tratta semplicemente di aggiornare la documentazione legale, ma di assicurare una personal data protection più efficace. Questo significa anche creare un piano di adeguamento al GDPR completo e sostenibile, che contempli tutti gli aspetti legali, organizzativi, gestionali e tecnologici, eventualmente rivolgendosi a partner con competenze trasversali su queste aree.

Come garantirsi un piano di adeguamento efficace

Per intraprendere un percorso di adeguamento efficace, è opportuno esaminare le diverse esigenze e stabilire delle priorità per la tutela delle informazioni personali identificabili (dati personali). Inoltre, occorre ipotizzare anche la predisposizione di interventi utili rimediare a eventuali situazioni di non conformità, adeguando i processi di business impattati, e soprattutto essere in grado di dimostrare la conformità attraverso idonei processi di reportistica e una documentazione approfondita.

I risultati dell'assessment GDPR dovrebbero permettere all'organizzazione di garantirsi un piano di adeguamento efficace. Ovvero:

  • Eseguire una valutazione della situazione iniziale
  • Identificare le priorità di compliance
  • Definire i piani di azione e di remediation (remediation plan)
  • Monitorare le eventuali violazioni e stabilirne le cause
  • Dimostrare la conformità al GDPR anche nel caso di violazione
     

Un aspetto chiave è quello al punto 3, ovvero le strategie (e i piani) di remediation. L'assessment, infatti, permette di identificare i rischi cui sono esposti i dati aziendali e dovrebbe farlo in un'ottica olistica. Cosa significa? Vuol dire che occorre necessariamente parlare di un vero e proprio ciclo di vita del dato personale, che tenga conto delle modalità di impiego di questi dati, delle finalità per cui sono utilizzati in azienda, delle tecnologie impiegate e dei vari soggetti coinvolti nel trattamento.

Un remediation plan efficace dovrà mettere in luce le possibili fonti di rischio: comportamenti del personale interno all'azienda (distrazione) o di attori esterni (azioni fraudolente), ma anche eventi che possano colpire gli strumenti e le tecnologie utilizzate nelle attività di trattamento o incidere sul contesto del trattamento (virus informatici, guasti e furti di apparati IT?). In generale, dovranno essere considerate tutte le eventualità che potrebbero causare una violazione, come l'accesso non autorizzato, la modifica o alterazione, la perdita o la diffusione dei dati personali. Un remediation plan efficace dovrà valutare la probabilità del verificarsi di ciascun rischio e stimarne l'impatto.

Una volta compresi i rischi, la parte più difficile sarà gestirli, quindi decidere se un determinato rischio debba essere eliminato, mitigato o accettato.

31 ottobre 2018