In vigore dal 2016, ma applicativo dal 2018 dopo due anni di transizione, il General Data Protection Regulation (Regolamento UE n. 2016/679 - GDPR) non è ancora debitamente integrato nei flussi operativi aziendali di molte imprese e pubbliche amministrazioni italiane. Al netto delle grandi realtà, che solitamente hanno risorse per istituire team interni dedicati al raggiungimento e mantenimento della compliance privacy, nel Bel Paese esiste un fitto sottobosco di aziende medio-piccole, per lo più dedicate alla produzione, che non ha mai fatto attività di risk assessment e sottovaluta le conseguenze legate alla non-conformità alla normativa.
Il GDPR, invece, richiede molta attenzione e competenza per rendere conformi alla disciplina attuale i trattamenti di dati personali effettuati dalle aziende, soprattutto quest’anno e in ottica di un prossimo futuro.
Difatti, è in corso un’azione coordinata per l’attuazione del Regolamento, avviata dal Comitato europeo per la protezione dei dati (EDPB): si tratta del Coordinated Enforcement Framework - CEF 2023, che coinvolge 26 Autorità di controllo dello Spazio Economico Europeo (SEE).
Il focus di questa attività di controllo si concentrerà, in una prima fase, sulla designazione e la posizione dei Responsabili della protezione dei dati (DPO - Data Protection Officer), figura strategica, e in alcuni casi obbligatoria, in materia di GDPR ma, purtroppo, funzione aziendale ancora non ancora perfettamente compresa in gran parte delle PMI.
Cosa si rischia
La Commissione europea, nel proprio sito ufficiale, informa tutti i portatori di interesse riguardo ai rischi in caso di inosservanza delle norme sulla protezione dei dati: laddove si ravvisi una “possibile violazione”: potrà essere emesso un avvertimento; quando una violazione risulta acclarata, invece, le possibilità comprendono “un ammonimento, un divieto temporaneo o definitivo di trattamento e una sanzione pecuniaria fino a 20 milioni di euro, pari al 4% del fatturato totale annuo mondiale dell’azienda”.
Le aziende colte in fallo, in Italia, sono già molte: sono state comminate 246 multe da aprile 2019 a marzo 2023 e, come rivelano le classifiche del GDPR Enforcement Tracker, l’Italia è al secondo posto per inadempienza alla normativa.
Nonostante i controlli di tipo generale non si concentrino ancora specificatamente sulle PMI, l’attività di risk assessment è altamente consigliata dagli specialisti del settore, come Dilaxia, non solo per prepararsi al futuro ed evitare sanzioni, ma anche per poter implementare modelli organizzativi all’insegna dell’innovazione e della competitività nel mercato italiano ed europeo.
Va da sé, infatti, che l’utilizzo di marketing massivo, profilazione dei clienti, Intelligenza artificiale, robot, Big Data, analytics, eccetera, porti a trattare moli di dati sempre più consistenti, che solitamente coinvolgono informazioni di tipo personale, il cui trattamento intrinsecamente comporta dei rischi.
Dovranno essere analizzate e mappate, in ottica di “Risk based approach”, tutte le criticità che il trattamento di dati, in particolar modo personali, comporta, disciplinando così tutto il ciclo di vita delle informazioni: dalla raccolta, memorizzazione, utilizzo e dismissione con relativa cancellazione. In particolare, modo i dati personali trattati devono essere adeguatamente protetti durante tutto il loro ciclo di vita da eventuali violazioni (data breach) tramite una approfondita analisi del rischio e predisposizione di procedure di mitigazione e risposta ai potenziali eventi critici.
Risk assessment: non solo cybersecurity
Il rischio informatico non è l’unico motivo per scegliere di avviare un risk assessment: un’azienda di sorveglianza sanitaria, una realtà impegnata nel settore del crowdfunding o una azienda che opera nel marketing hanno particolari responsabilità in tema di trattamento dei dati personali. In questi casi, l’adeguamento alla normativa non dovrebbe affidarsi solo alla predisposizione delle informative privacy, ma richiede un percorso di adeguamento più complesso di cui il risk assessment è un tassello fondamentale.
Per le aziende produttive può fare la differenza, dopo aver compiuto il proprio percorso di compliance a un corretto trattamento dei dati personali, verificare che vengano impiegati solo fornitori che possano garantire un adeguato grado di sicurezza nel trattamento dei dati personali che gli vengono affidati. Poter dimostrare in qualsiasi momento di essere compliant alla normativa può garantire maggior competitività e permettere di approcciarsi con le grosse aziende dove il tema della sicurezza dei dati è richiesto, verificato e monitorato costantemente.
La presenza di modelli virtuosi di comportamento all’interno dell’impresa stessa e verso i propri utenti, difatti, rende visibili l’efficienza dei processi, la gestione dei sistemi e delle forniture; inoltre, l’attività di analisi per implementare una corretta gestione dei dati porta alla luce criticità e inefficienze operativa, aiutando l’azienda a eliminarle.
Le implicazioni relative alla compliance e all’integrazione nativa e predefinita (by design e by default) di controlli di compliance al GDPR richiedono un mix di competenze legali e tecniche solitamente superiore a quella reperibile all’interno di un’azienda medio-piccola.
ENISA, European Union Agency for Cybersecurity, ha messo a disposizione uno strumento per la valutazione del rischio di sicurezza (ai sensi dell'art. 32 del GDPR). Tuttavia, il self risk assessment potrebbe non essere il percorso migliore, perché, nonostante l’impegno, è possibile che gli adempimenti, anche i più semplici per un addetto alla materia, possano essere portati a termine in maniera non conforme alla normativa vigente.
In Dilaxia, consulenti specializzati anche nel risk assessment
In generale, la valutazione del rischio o risk assessment è un processo che mira all’individuazione e alla caratterizzazione del pericolo che incombe sui trattamenti effettuati, alla valutazione dell'esposizione al pericolo e, infine, alla caratterizzazione del rischio.
È un’attività da ripetere costantemente nel tempo, perché gli scenari in cui l’azienda opera sono in continua evoluzione oppure la normativa subisce aggiornamenti, che solo un esperto della materia può interpretare e applicare in maniera corretta.
Inoltre, “Rispetto all’era ante-GDPR, la consulenza privacy va tarata sulle esigenze e sulle specificità di ogni azienda cliente”, in virtù del principio di accountability (responsabilizzazione) del Titolare, spiegano Aligi Pilotto e Luca Bonora del team Privacy/DPO di Dilaxia che si occupa nell’ambito della consulenza privacy, anche di risk assessment.
Nella pratica, il team di consulenza creato in Dilaxia procede a fasi:
- interviste a tappeto (un referente per ogni reparto);
- ricognizione e analisi dei trattamenti di dati personali effettuati dall’azienda;
- redazione del documento di relazione, che evidenzia i gap;
- indicazione dei correttivi e delle necessità dell’azienda , per creare una strategia puntuale che miri al raggiungimento dello stato di conformità;
- coadiuva nella creazione un repository nel quale inserire i documenti che permettano all’azienda di dimostrare la propria accountability in merito alla protezione dei trattamenti di dati personali effettuati;
- assiste l’azienda nella gestione e corretta memorizzazione dei dati in accordo alla strategia di gestione del rischio concordata assieme al management dell’organizzazione.
Soprattutto, Dilaxia segue i propri clienti nel tempo, attraverso contratti di mantenimento che garantiscano al cliente la continuità della sorveglianza e mantenimento alla compliance GDPR supportandoli nella creazione di un percorso duraturo di mantenimento della compliance.
AUTORI
