Col nuovo anno da poco iniziato è ormai tempo per le aziende di allinearsi al GDPR. Com'è noto, le regole di questa normativa si applicano alle organizzazioni che operano all'interno della Comunità europea (indipendentemente da dove si trovi l'headquarter), che conducono attività di monitoraggio in Europa e che richiedono l'utilizzo di dati personali. In questo contesto le organizzazioni dovranno essere a brevissimo più proattive e possedere una predisposizione alla privacy che tenga conto del livello di rischio.
"Occorre un nuovo orientamento alla gestione della sicurezza dei dati personali — ha illustrato Francesco Gallo, Head of Software & Data Solutions di Npo Sistemi —. Un orientamento basato sulla responsabilità del titolare del trattamento dei dati nel determinare e implementare misure specifiche e adeguate per la protezione dei dati stessi. Tutto ciò comporta la necessità di analizzare le criticità connesse al trattamento dei dati per identificare i gap e le opportune misure tecnologiche e organizzative da attuare per garantire un livello di protezione adeguato".
"Sostanzialmente — ha dichiarato Gallo — Npo Sistemi opera in modo consulenziale a quattro mani con l'Azienda-Cliente partendo dai processi per arrivare fino all'individuazione di un elenco delle attività necessarie, declinate nello specifico contesto. Valutiamo poi, sempre assieme all'Azienda-Cliente, il coefficiente di rischio relativo alla propria realtà per determinare quali siano le azioni correttive da implementare. Il nostro valore aggiunto si esplica nel saper studiare il contesto, divenendo esperti dei processi del nostro Cliente e
successivamente stabilendo assieme ad esso le priorità di intervento".
Npo Sistemi si propone dunque alle aziende come interlocutore unico per le esigenze di adeguamento al GDPR, ovvero per tutto il percorso che va dall'analisi dello scostamento della situazione iniziale in termini di processi e tecnologia, fino ad arrivare – attraverso tre fasi specifiche – all'obiettivo di compliance.
"Considerando anche il rilevante quadro sanzionatorio previsto dal GDPR in caso di non conformità — ha proseguito nella sua spiegazione Gallo — è fondamentale implementare adeguati processi, policy, procedure e strumenti per la Gestione della Sicurezza dei Dati Personali e dei servizi e sistemi che li trattano. Il GDPR ha una portata enorme sui sistemi informativi e tra i suoi aspetti più innovativi va considerato con attenzione il tema della portabilità dei dati e i principi di Privacy by Design e by Default. Mi piace qui evidenziare anche come chi ha scritto la norma abbia, di fatto, elevato il concetto di dato personale portandolo a un valore non più detenuto da chi possiede il dato ma da chi ne ha la titolarità in senso stretto. Si tratta di una importante evoluzione in termini di approccio, perché mette in condizione l'Azienda di dover custodire un valore che non è proprio".
Npo Sistemi, come precedentemente accennato, ha adottato un approccio al GDPR suddiviso in 3 fasi principali.
"La prima fase — ha sottolineato Gallo — prevede una consulenza alle organizzazioni a livello di conformità dei loro processi aziendali (legale, tecnico, organizzativo) rispetto alla norma. La seconda fa leva su una consulenza a livello di processi, quali, tra gli altri, l'Information Security Management, l'Incident Management, il Problem Management, l'IT Services Continuity Management e vari altri processi. Infine, la terza fase si concentra su intervento e remediation grazie alla progettazione di modelli organizzativi e sistemi informativi in linea con la norma GDPR e con le esigenze di governance. Quest’ultimo aspetto si esplica anche attraverso il nostro servizio di Data Protection Officer (DPO) e alla soluzione per la Gestione del Registro dei Trattamenti e del livello di Rischio (DPIA) denominata DocTrace GDPR, ovvero una soluzione applicativa, as a service, che consente di gestire il registro dei Trattamenti, le Checklist di assessment e il calcolo del livello di rischio per ciascuno dei trattamenti".