Adeguamento al GDPR: diffidare da offerte “troppo” convenienti!

Siamo ormai alle porte del fatidico 25 maggio 2018 e nonostante l’imminenza della data x molte sono le aziende e gli enti che si trovano ancora indietro nell’applicazione del Regolamento generale sulla protezione dei dati – GDPR, anzi, per la verità, molti a dispetto del principio di accountability non hanno nemmeno iniziato a porsi il problema.

Indubbiamente a contribuire nel creare confusione in materia sono i sempre più numerosi “sedicenti” consulenti che, in barba ai più elementari principi del GDPR, promettono adeguamenti standardizzati a poche centinaia di euro grazie all’utilizzo di “miracolosi” software in grado di risolvere tutti i problemi premendo un semplice tasto.

L’implacabile legge di mercato ancora colpisce ed il desiderio di ottenere in breve tempo e con pochi soldi un adeguamento “garantito” finisce per prevalere, specialmente avuto riguardo a tutti quegli imprenditori che hanno ben altri problemi da risolvere e non vogliono adoperarsi più di tanto per rispettare una normativa ritenuta tra l’altro inutile.

Purtroppo niente di più sbagliato poiché con il GDPR cambia completamente il modo di affrontare la materia della protezione dei dati personali e nulla può essere dato per scontato, ma come ormai diciamo da tempo ogni singolo trattamento di dati personali va valutato e monitorato attentamente al fine di capire se effettivamente comporti rischi di concrete violazioni a danno di interessati.

L’attenzione dovrà essere rivolta a:

  • Struttura di governance (individuazione responsabili per la privacy dei dati, la gestione del responsabile, procedure di segnalazione a fini gestionali);
  • Gestione archivio dati personali (modalità di gestione per l’archiviazione dei dati personali o flussi di dati personali con classi definite di dati);
  • Policy privacy dati personali (politiche e procedure in materia di privacy, requisiti di legge, gestione dei rischi operativi);
  • Programma formazione (formazione continua e sensibilizzazione per promuovere il rispetto della privacy);
  • Gestione del rischio connesso all’Information Security (programma di sicurezza delle informazioni e valutazioni dei rischi, DPIA);
  • Gestione del rischio di terze parti (contratti con terzi coerenti con la riservatezza dei dati, – policy, requisiti, e tolleranza del rischio operativo);
  • Comunicazioni (informazioni e comunicazioni agli individui coerenti con la politica privacy);
  • Risposta richieste e reclami di privati (procedure efficaci per le interazioni con gli individui in materia di dati personali);
  • Individuare e monitorare nuove pratiche operative (monitorare pratiche organizzative per identificare nuovi processi o modificare quelli esistenti al fine di garantire l’attuazione della Privacy by design);
  • Gestione data breach;
  • Verificare politiche, pratiche e procedure operative ai fini della conformità alla normativa sulla privacy.
Con In Pratica GDPR in pratica sei già prontoCon oltre 30 tipologie di action plan, In Pratica GDPR offre un validissimo strumento di supporto per svolgere una attività o risolvere un caso specifico.

Come appare chiaro tutte queste attività influiscono inevitabilmente anche sulla gestione dei processi aziendali che comportano il trattamento di dati personali e vanno quindi ricondotte attentamente attraverso la predisposizione di specifici modelli organizzativi.

Appare inevitabile che il contributo dello strumento informatico e quindi del software creato ad hoc per l’adeguamento al GDPR è sicuramente utile, in quanto in grado di gestire le diverse attività in modo automatico sollevando l’operatore da diverse incombenze e possibili errori, ma non può essere sufficiente.

Anche e specialmente in questo campo un buon programma può essere un valido sistema di supporto alle attività del professionista, che però ha bisogno di quel necessario margine di discrezionalità che può consentire al cliente l’effettiva realizzazione, nell’ambito della propria realtà organizzativa, di quei principi del GDPR come trasparenza, privacy by design ed accountability, ma anche lo svolgimento di quegli adempimenti come in tema di sicurezza informatica che un software non potrebbe mai gestire al di là di improbabili prototipi di IA.

Non dimentichiamo che per far funzionare bene anche un semplice programma gestionale è necessario fornire al sistema informazioni pertinenti e se non c’è un minimo di competenza nel settore si rischia di rendere vano ed anzi dannoso qualsiasi automatismo.

Pur volendo far ricorso all’IA dobbiamo ammettere che la stessa non può considerarsi una tecnologia universale e non può prescindere dall’intervento dell’uomo.

Attualmente i professionisti della sicurezza possono fare ricorso all’IA per:

  1. prevedere le minacce ed adattarsi ad esse;
  2. identificare ed eliminare le vulnerabilità esistenti;
  3. rilevare ed arrestare cyber attacchi con una velocità ed efficienza che non è sempre possibile ottenere con l’analisi umana.

Di conseguenza è consigliabile sempre, anche in tale settore, un approccio prudente alle tecniche di IA al fine di:

  • predisporre un piano ben strutturato per l’utilizzo mirato ed efficiente di strumenti di IA ed ML.
  • Definire e mappare i processi intervenendo laddove esiste una maggiore carenza di risorse umane.
  • Identificare e definire l’origine e la tipologia dei dati al fine di consentire un migliore utilizzo delle soluzioni di IA.
  • Essere già in grado di conoscere cosa attendersi da soluzioni di IA.

In altri termini, quindi, nel campo della protezione dei dati personali la soluzione informatica non può essere presentata come la “chiave di volta” assoluta che ti garantisce l’osservanza del GDPR, ma è sempre necessario l’intervento di un professionista competente nell’ottica di quel fondamentale principio di accountability.

Fonte: (Altalex, 16 maggio 2018. Articolo di Michele Iaselli)

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Il nostro sito non usa cookie di profilazione. Puoi continuare a navigare in questo sito senza modificare le impostazioni dei cookie o cliccare su "Accetta" permettendo il loro utilizzo. Maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi