Entro il prossimo 25 maggio, la Commissione UE trasmetterà al Parlamento e al Consiglio un report sul GDPR, un bilancio a due anni dall’entrata in vigore a regime, con la possibilità di avanzare proposte di modifica, anche alla luce di difficoltà emerse e sviluppi di nuove tecnologie.
A partire dal 25 maggio 2018 le aziende hanno avviato un percorso spesso complesso, per analizzare la propria conformità alla normativa ed eventualmente adeguarsi alla stessa. Ad oggi, tuttavia, ci sono ancora realtà non conformi ai nuovi dettami normativi del Regolamento Europeo 2016/679 sulla protezione dei dati (General Data Protection Regulation).
Il primo passo del percorso è una valutazione dei processi aziendali in funzione del grado di rispetto della normativa vigente, a cura di un auditor esterno (fondamentalmente perché è difficile per chi è dentro accorgersi delle problematiche): dopo una attenta analisi, suggerisce le modifiche necessarie alla corretta raccolta ed al corretto trattamento dei dati.
L’audit si concentra su procedure, flusso di trattamento, conservazione dei dati e loro custodia, tipo di accesso ai dati che il personale può effettuare; su modalità di effettuazione del trattamento dei dati, tipologia dei dati modalità di raccolta e trattamento.
Alle aziende viene chiesto se esistono sistemi di sicurezza già attivi per proteggere i dati conservati, sistemi di backup, firewall, antispam; viene chiesto anche quali sono le procedure interne per la gestione delle mail, dei dispositivi portatili e di tutte le possibili falle del sistema. Una delle tipiche problematiche che emerge da questa prima valutazione, infatti, è la scarsità di formazione del personale nel riconoscere le criticità e nel conoscere i sistemi che utilizza.
Particolare attenzione deve poi essere posta sulle modalità di gestione del sistema informatico, al fine di assicurare sia a “norma” e che i dati inseriti siano salvaguardati da sufficienti misure di sicurezza e con adeguate metodologie contro le minacce informatiche e telematiche.
A tal proposito, possiamo indicare una serie di ambiti per i quali è necessario approfondire l’analisi, anche in funzione della tipologia di società e dell’ambito in cui opera, dei seguenti aspetti:
- Cyber Security;
- Gestione dei dispositivi mobili;
- Cancellazione sicura dei dati;
- Gestione delle funzionalità connesse all’internet of things;
- Gestione dei Big Data;
- Gestione e prevenzione del Data Breach;
- Gestione della Sicurezza del Cloud Computing;
- Gestione della Business Continuity.
Come detto, è bene partire da un audit iniziale per valutare lo stato dell’arte e verificare le modalità e gli ambiti di un eventuale intervento.
Questo però non basta: una volta adottate le prescrizioni indicate, si dovrà procedere con un verifica almeno annuale sulla loro effettiva esecuzione. Questo perché, essendo una normativa relativamente giovane e sulla quale i singoli Stati possono intervenire, potrebbero intervenire novità che in parte possono inficiare il lavoro svolto: ecco perché è necessaria una sistematica verifica della propria compliance. Non solo: la stessa azienda potrebbe aver apportato ai propri sistemi/procedure delle modifiche tali da impattare sull’applicazione e la conformità al GDPR 679/2016.
Quindi, indipendentemente dall’avere incaricato un DPO esterno, è consigliabile una verifica periodica dell’aderenza dei processi, dei sistemi e delle procedure alla normativa.
di Cristiano Montesi, CEO di IDEA Services