Chiudi

Il GDPR dopo oltre un anno dalla sua entrata in vigore

Chi siamo > News > Le news di Ayming Institute > Il GDPR dopo oltre un anno dalla sua entrata in vigore
Le news di Ayming Institute
Ottobre 29, 2019

Articolo a firma di Ilaria Di Maria, Manager Ayming Italia

Dopo oltre un anno dall’entrata in vigore della nuova normativa relativa al trattamento dei dati personali, parlare di “Privacy”, o più comunemente, di “GDPR”, provoca sensazioni che vanno dalla rassegnazione, passano dalla paura e atterrano su un’amara incertezza.

Il bombardamento comunicativo al quale ci hanno sottoposto lascia pochi dubbi rispetto all’obbligo per le società di adeguarsi: le sanzioni ciclopiche, che hanno il sapore di “pena” esemplare, si accompagnano a un inevitabile danno di immagine difficilmente misurabile in termini monetari; a tutto ciò si aggiunge un’indeterminatezza rispetto a un esaustivo elenco di attività che, una volta eseguite, facciano affermare che la conformità normativa sia raggiunta.

Oggi, quando una società può dirsi davvero adeguata?

Sono nate costellazioni di check list formulate con lo scopo di dare indicazioni su documentazione, procedure ed elenchi programmatici di attività, spuntate le quali le società dovrebbero rasserenarsi.

Ma è proprio da questo impasse che dovremmo uscire: una delle problematiche principali nel trattamento dei dati personali è la garanzia sulla sicurezza imposta a titolari e responsabili del trattamento; il regolamento, a differenza del codice Privacy, ha abbandonato la tipicità di un elenco di misure di sicurezza minime e si è spostato verso un “adeguato” livello di sicurezza, fornendo sì un elenco, ma che dichiaratamente non vuole essere esaustivo.

È solo abbandonando la visione statica di un modello predefinito, un punto di arrivo, che entreremo nell’ottica del nuovo spirito che il cambiamento normativo ha portato.

Dobbiamo far entrare il dinamismo dei veloci cambiamenti tecnologici scardinando la mentalità del “done” per spostarci su un fisiologico “work in progress”.

Come?

In primis, all’interno di ogni realtà aziendale deve esserci una valutazione costante del proprio livello di sicurezza nel trattamento dei dati, delle misure preventive e correttive e la previsione concreta di quali siano i possibili rischi legati a un errato trattamento.

Ci si potrà certamente riferire a strumenti di riepilogo a supporto, come il Registro dei trattamenti, peraltro consigliato anche quando non obbligatorio, ma da considerare come punto di partenza e non come un insieme di campi da riempire.

Ulteriore prova dell’awareness aziendale è un Piano di Disaster Recovery ben strutturato, conosciuto e condiviso da tutti i soggetti che trattano i dati personali in azienda e sempre aggiornato su attori, attività rimedi e correttivi.

Anche l’adesione a codici di condotta o a un meccanismo di certificazione possono essere prova di conformità, è proprio il regolamento comunitario a fare questo suggerimento in più occasioni, per i responsabili del trattamento, per i mezzi da utilizzarsi, per le misure di sicurezza.

Dobbiamo però constatare che una certificazione non può essere considerata un punto di arrivo, può essere certamente un valido strumento a garanzia della propria organizzazione, ma non può sostituire la necessità di operato costante in termini di aggiornamento e verifica interna di conformità da parte delle società.

La stessa prassi Uni/Pdr 43, che ci sta aprendo la strada a una anelata certificazione per la Privacy, prevede un meccanismo di controllo continuo.

Questo si deve tradurre nella programmazione di audit periodici sia a conferma di quanto indicato quale modello organizzativo di riferimento per il trattamento dei dati, sia a verifica che, anche in un momento successivo alla prima elaborazione, non siano intervenuti cambiamenti sostanziali rispetto alla prima fotografia.

Non potremo mai fermarci e dire “siamo adeguati”, ma, del resto, non potendo rallentare la velocità dei cambiamenti di metodi e tecnologie nella gestione dei dati, possiamo solo allenarci per essere in grado di corrervi accanto.

Mostra commenti

Nessun commento

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *