Il Nuovo Regolamento, tramite gli articoli 30 e 33, stressa in maniera implicita il concetto di “processo per la gestione della privacy”, imponendo un approccio organico e risk based alla protezione dei dati personali che tenga conto degli importanti cambiamenti tecnologici e comportamentali avvenuti negli ultimi anni (Cloud, Big Data, Social Networks, diritto all’oblio, diritto alla portabilità dei dati, etc.).
L’approccio risk based previsto dal regolamento richiederà sicuramente un salto culturale alle aziende, ma consentirà alle stesse di predisporre un framework per la gestione della privacy sostenibile nel tempo grazie ad un’allocazione attenta e mirata delle risorse sulla base del risk appetite e della security posture.
Per essere conformi al regolamento, le organizzazioni dovranno quindi dotarsi, qualora non lo avessero già fatto, di un processo continuo strutturato in fasi ed attività finalizzato, come richiesto dal par. 3 art. 30, a porre i dati personali al riparo dai rischi di riservatezza, autenticità, integrità e disponibilità insiti nei trattamenti degli stessi e che dovrà essere in grado di soddisfare i requisiti di cui all’art. 33.
Si dovrà quindi definire ed attuare un framework coerente con la natura e l’organizzazione interna dell’azienda che consenta di:
- “mappare” i dati che rientrano nell’ambito di applicazione del regolamento, partendo dai processi di business: è la fase critica di tutto il framework, perimetro errato = dati personali non protetti = non conformità
- Valutare la criticità di un processo attraverso l’identificazione della natura dei dati personali e la valutazione dell’impatto che la compromissione della Riservatezza, Autenticità, Integrità e Disponibilità dei dati trattati causerebbe ai diritti e alle libertà degli interessati in termini di (esempio non esaustivo):
- Discriminazione
- Danni alla reputazione
- Furto d’identità
- Frodi
- Perdite finanziarie
- effettuare l’analisi del rischio per individuare il livello di esposizione al rischio di Riservatezza, Autenticità, Integrità e Disponibilità dei dati personali trattati dal processo in esame. I risultati dell’analisi consentiranno di individuare gli ambiti su cui focalizzare gli interventi, ottimizzando l’impiego delle risorse a disposizione
- definire un piano di intervento «equilibrato» tramite un’attività di risk treatment, fondamentale per mitigare i rischi rilevati con un impegno sostenibile per l’azienda ed un rischio residuo accettabile
Il framework dovrà essere debitamente documentato e sottoposto ad un’attività di Monitoraggio periodica per avere la certezza che gli investimenti fatti abbiano prodotto o stiano producendo gli effetti attesi. Il monitoraggio, attraverso obiettivi di controllo e indicatori di performance chiari e misurabili, dovrà consentire di valutare:
- l’effettivo stato di implementazione delle misure di sicurezza
- l’efficacia delle misure implementate
- l’effettiva e corretta applicazione del framework
- la conformità ai requisiti del Regolamento al fine di valutarne l’efficacia nel tempo.
Infine, oltre ad essere reiterato periodicamente, il framework dovrà comunque essere attivato a fronte di specifici eventi, quali:
- Definizione di un nuovo processo/trattamento, modifica/eliminazione di un processo/trattamento esistente
- Adozione di nuove tecnologie a supporto dei processi/trattamenti in essere
- Cambiamenti normativi
- Risultanze di attività di Internal Auditing, Verifiche Ispettive, Monitoraggio