Binomio inscindibile

Una grossa area di incertezza percepita dalle organizzazioni che sono tenute a rispettare il regolamento, riguarda proprio le contromisure vere e proprie da adottare. Al momento, dal legislatore non sono ancora arrivate linee guida precise o best practice da implementare e come vedremo in seguito – dall’intervista con l’avvocato Valentina Frediani, founder e CEO dello studio Colin & Partners che abbiamo coinvolto in questo dossier – l’assenza di un preciso codice di comportamento è stata per così dire ingegnerizzata da un legislatore che ha voluto fissare una serie di obiettivi e presupposti, lasciando a chi deve ottemperare al regolamento, uno spazio di manovra che agisce anche da stimolo alla lettura e alla comprensione di un testo, che secondo Valentina Frediani è molto più esplicito del temuto. Come affermava Alessandro Cecchetti, general manager dello stesso studio specializzato in consulenza legale informatica, nel corso della tavola rotonda organizzata da Data Manager proprio per fare chiarezza sull’adozione del GDPR, la mancanza di precise norme di comportamento invita a rispettare l’unica regola possibile: leggere con cura il testo, individuare i punti di aderenza alla propria realtà procedurale e infrastrutturale e implementare di conseguenza le necessarie misure tecniche e organizzative. Si andrà a creare così – sottolineava Cecchetti – il binomio inscindibile voluto dal legislatore, quello tra il dato digitale inserito nel contesto delle infrastrutture e delle applicazioni informatiche e l’informazione considerata dal punto di vista del business e dei suoi processi.

Alla base del principio di responsabilizzazione che ispira il testo della normativa, c’è l’obbligo da parte dell’azienda di essere in grado di dimostrare l’adeguatezza con la quale è stato affrontato il tema della protezione del dato digitale. In altre parole, l’organizzazione è tenuta a stendere un accurato piano di valutazione da cui potrà derivare l’implementazione di contro misure sia tecniche (come per esempio l’uso della cifratura delle informazioni, o di tool che consentano un uso anonimo del dato personale) sia organizzative (per esempio la gestione improntata a una minore ridondanza dei dati e all’eliminazione di tutto ciò che non ha più utilità per il business). Un’altra forte motivazione dell’estensore della nuova direttiva europea è quella di evitare la definizione di norme preconfezionate e “one size”, proprio per venire incontro all’esigenza di una protezione più adatta allo specifico settore di attività. Uno dei tratti distintivi della compliance consiste proprio nello studio dei trattamenti e delle peculiarità che caratterizzano un’azienda di produzione industriale o un istituto di credito. Questo inevitabilmente comporta la capacità di analisi delle singole situazioni e la creazione di un percorso su misura. In una ottica che volutamente il legislatore ha inteso di vero e proprio risk management.

Continua a leggere su DataManager.it