venerdì 09 Dicembre 2022

GDPR: Perché è importante scegliere il responsabile del trattamento e non subirlo! Parte seconda

Da non perdere

Paolo Montali
Paolo Montalihttps://www.risksolver.it/
Partner, Technical Relationship Manager at RISK SOLVER. Ho vissuto la mia esperienza lavorativa nel campo delle telecomunicazioni all'inizio della diffusione delle reti geografiche e delle prime reti locali, nel corso degli anni 90 ha gestito progetti di interconnessione e standardizzazione delle comunicazioni applicative tra aziende, sistemi pionieristici di quelli che sono poi stati i modelli di marketplace sia in ambito b2b che b2c. Dal 2016 mi occupo a tempo pieno di protezione dei sistemi e dei dati, fornendo consulenza e soluzioni per innalzare il livello di sicurezza delle infrastrutture ICT delle Aziende.

La prima parte QUI

Il GDPR chiama a rispondere sia per violazioni proprie che commesse da parte dei responsabili coinvolti, il Titolare del trattamento. Questo comporta che anch’egli può essere esposto a sanzioni e provvedimenti dell’autorità di controllo.

Ecco un altro motivo, sicuramente molto delicato, per cui è fondamentale svolgere attentamente il processo di valutazione e scelta del Responsabile.

Questo ci viene ricordato dagli artt. 24 e 25.1 del Regolamento che sono relativi all’accountability del Titolare e al principio di privacy by design, che forniscono anche i parametri per valutare l’adeguatezza delle misure predisposte. 

Ricordo ai Titolari ed ai Responsabili che seguire il Regolamento non è più complicato o più costoso, è solo un approccio diverso, basato su una metodologia che consente valutare i rischi e adottare le misure che il Titolare o il Responsabile ritengono opportune, sulla base di valutazioni che tengono conto (cito testualmente quello che scrive il Regolamento):

della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche”, nonché dello “stato dell’arte e dei costi di attuazione”.

Questo significa che ci sono ampi margini di manovra per Titolari e Responsabili, sulla scelta delle misure organizzative e tecniche da mettere in campo per lo svolgimento dell’attività di trattamenti. 

Sul piano operativo si sta sempre maggiormente consolidando la prassi di utilizzare checklist di verifica, finalizzate alla scelta del/i fornitori, ma anche a dimostrazione dell’attività di verifica effettuata da parte del Titolare in ottica proprio di accountability.

E’ importante che si valutino sia gli aspetti di carattere tecnico/organizzativo per un adeguato livello di sicurezza dei dati, ma grazie a quanto ci fornisce il GDPRè importante valutare anche come i Responsabili si sono strutturati per dare risposte esaurienti e celeri sia alle di Autorità di Controllo, ma soprattutto ai Soggetti Interessati, cioè i cittadini. Infatti, finora, l’errore che viene più comunemente commesso, riguarda l’esclusiva attenzione all’aspetto della sicurezza che è un elemento necessario ma non sufficiente, trascurando invece la capacità di garantire la conformità normativa e, soprattutto, di tutelare i diritti degli interessati. 

Da questo articolo spero che si evinca l’importanza della scelta del Responsabile ed in generale invito le aziende a riconsiderare sotto questi aspetti la valutazione e la scelta dei fornitori in generale, impostando un processo che consenta all’azienda di affidarsi sempre a fornitori sulla base di elementi e concetti di sicurezza, affidabilità e garanzia. In sostanza non dobbiamo fermarci al fatto che utilizziamo quel fornitore perché ci eroga servizi al prezzo più basso o perchè è quello che abbiamo scelto all’inizio della nostra attività “… perché si è sempre fatto così”. Bisogna valutarlo e verificarlo, ne va del bene dell’Azienda. 

Ricordo con vigore a tutti che mettere a norma l’azienda, non è un processo che svolto una volta si è a posto per tutta la vita dell’azienda. E’ un percorso che prosegue e accompagna l’azienda per tutta la vita.

Ogni azienda evolve, comunque cambia nel corso della sua vita e questo determina la necessità di riverificare periodicamente quanto è stato fatto in modo da adattare il modello privacy, le misure di sicurezza o le misure organizzative alla mutata situazione. 

Oltretutto potrebbe essere necessario modificare alcuni aspetti dell’impostazione privacy a seguito di una variazione dei rischi introduzione di nuovi o variazione del livello di quelli esistenti) oppure per continuare in un processo virtuoso di miglioramento che, sulla base delle risorse economiche che il Titolare o il Responsabile ha valutato di poter destinare a questi aspetti, non si poteva realizzare nella modalità c.d. “Tutto Subito”, ma in modo graduale., cosa che il Regolamento consente e che spesso le aziende non considerano. Concludendo, si deve sempre tenere monitorata la situazione sia internamente sia con i fornitori e provvedere ad un aggiornamento qualora ci sia un cambio degli scenari di rischio, della normativa da dover applicare, delle tecnologie divenute disponibili o delle best practices diffuse.

- Advertisement -spot_img
- Advertisement -spot_img

Articoli recenti

- Advertisement -spot_img
- Advertisement -spot_img