La “Privacy” come processo dinamico: l’importanza dell’aggiornamento
Il principio di “Accountability”(“responsabilizzazione”), pietra portante del G.D.P.R, concede ai titolari del trattamento una forte autonomia nella definizione e successiva applicazione delle misure tecnico/organizzative necessarie ad essere “Compliant” al Regolamento europeo. La conformità al G.D.P.R, tuttavia, non si esaurisce con la prima fase di adeguamento. Il sistema di gestione Privacy è un processo dinamico e, pertanto, l’organizzazione deve verificare (e poter dimostrare) che le misure di sicurezza adottate rimangano efficaci nel tempo: occorre, cioè, il suo aggiornamento. Il Regolamento stesso incoraggia, infatti, titolari e responsabili del trattamento ad adottare: “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” (Art. 32, par. 1, lettera “d”, G.D.P.R).
Il peso dei cambiamenti interni ed esterni
Diversi sono gli elementi che possono impattare sulle misure aziendali esistenti; rendendole inefficaci o insufficienti a garantire la compliance normativa. Si tratta di cambiamenti interni o esterni all’organizzazione. Tra i primi rientrano, per esempio:
→ l’adozione di nuovi strumenti per il marketing (servizio di newsletter, implementazione di moduli di contatto sul sito Internet, ecc.);
→ la sostituzione/implementazione degli asset aziendali esistenti;
→ il cambiamento di persone interne o di collaboratori esterni che trattano dati;
→ l’installazione di un impianto di sorveglianza.
I cambiamenti esterni possono riguardare, invece:
→ evoluzioni legislative/normative/giurisprudenziali (p.e. l’introduzione di nuove norme di riferimento, le modifiche a quelle esistenti o le integrazioni tramite provvedimenti dell’Autorità);
→ furto/violazione di dati personali (“Data Breach”);
→ eventuali attacchi informatici subiti (p.e. Ransomware, Phishing, ecc.).
Aggiornamento della Privacy in quattro step: analisi, revisione, formazione, tracciabilità
Come fare, quindi, per gestire in modo efficace ed efficiente l’aggiornamento della Privacy all’interno della propria organizzazione ? La risposta alla domanda si riassume in quattro step:
1. Analisi: per prima cosa occorre analizzare le eventuali novità interne o esterne verificatesi, al fine di valutare l’efficacia delle misure preesistenti e la necessità di implementarne di nuove;
2. Revisione: la seconda fase riguarda la revisione, l’aggiornamento e l’eventuale integrazione della documentazione di riferimento;
3. Formazione: il passaggio successivo è quello di formare il personale interno riguardo alle evoluzioni normative e alle novità adottate dall’azienda (in ottemperanza agli Artt. 5, par. 1, lettera “f” e 29 del GDPR);
4. Tracciabilità: infine, è necessario tenere traccia documentale di quanto svolto, così da poter dimostrare l’osservanza dell’Art. 32. Questo avviene, per esempio, tramite la stesura di una relazione conclusiva dove vengono riportate le varie attività affrontate.
Artea Srl è a disposizione, con propri specialisti, per affiancare la vostra organizzazione in questo delicato quanto importante passaggio. La società dispone, inoltre, di D.P.O qualificati che possono attivarsi al vs. servizio e/o subentrare alle figure esistenti con un rapporto costi/benefici ottimale.