La nuova legge sulla privacy introduce un cambiamento sostanziale nell’ approccio che le organizzazioni devono seguire per la tutela dei dati personali che trattano.
Questo allarga e approfondisce notevolmente le competenze che i professionisti della privacy dovranno avere per offrire una messa a norma completa ed omogenea.
Ecco che il primo aspetto di cui si dovranno preoccupare i titolari del trattamento sarà quello di affidarsi a dei professionisti in grado di attuare un modo nuovo di fare privacy in azienda.
I titolari del trattamento saranno maggiormente coinvolti e per iniziare col piede giusto è necessario fin da subito guardare alla messa a norma come un processo che crea valore, non come un costo e nemmeno come a qualcosa che deve essere fatto solo per evitare una sanzione.
Il valore che si ottiene dal nuovo regolamento sulla privacy è la possibilità stessa di poter disporre dei dati personali degli interessati, condizione necessaria per sostenere il business di ogni organizzazione.
Resta a rischio e pericolo dei titolari del trattamento farlo al di fuori della legge e per questo, purtroppo, derivano le pesanti sanzioni.
Il cambiamento sostanziale consiste nel passaggio da misure di sicurezza “minime” a misure di sicurezza “adeguate”, dove adeguato significa sia tecniche che organizzative.
Alla base di questo cambiamento vi è il concetto tale per cui non è possibile mettere in sicurezza qualcosa se non è chiaro da cosa è messo in pericolo. Proprio questo, rende “inadeguato” applicare in ogni situazione le stesse misure minime, ma rende necessaria un’analisi dei rischi in ogni organizzazione, dalla quale dedurre le misure adeguate da implementare.
Ecco quali sono le competenze e alcuni esempi di attività richieste dal processo di messa a norma di un’organizzazione nel rispetto del GDPR:
- Organizzative: adeguare al nuovo regolamento quanto fatto nei confronti della legge 196 e gestire nuovi adempimenti come tenere il registro dei trattamenti.
- Legali: analisi dei contratti dei fornitori di servizi quali cloud, outsourcing o posta elettronica, oltre a fare la valutazione d’impatto di quei trattamenti caratterizzati da un rischio elevato.
- Tecniche: analisi delle vulnerabilità e valutazione dei rischi, scelte tecnologiche nel rispetto della privacy by design, definizione delle misure di sicurezza, gestione dei Log.
- Compliance: armonizzazione dei processi.
- Nuove: DPO
Solamente questo ristretto elenco evidenzia quanto le competenze richieste siano variegate e allo stesso tempo interconnesse e dipendenti l’una dall’altra.
Ecco che il secondo requisito che si rende necessario è un “piano operativo” comune e condiviso tra i diversi professionisti che entrano in gioco, security engineer, privacy officier/DPO, avvocati ed esperti in 27001.
In altre parole un team di lavoro che proceda fianco a fianco nello svolgimento delle attività, in modo da costruire una messa a norma completa e omogenea.
Qui trovi un approfondimento completo su tutto quello che c’è da sapere sulla sicurezza informatica.
Se vuoi approfondire il tema del Nuovo Regolamento Europeo sulla privacy scarica subito questa guida, è ricca di indicazioni utili sulle novità introdotte e su come puoi iniziare il processo di adeguamento.