DPO e sistemi informativi a tre anni dall’entrata in vigore del GDPR

01/04/2021
di Valentina Frediani

L’Autorità Garante per la protezione dei dati personali ha recentemente ribadito come il tema degli attacchi costituirà oggetto di indagine ai fini dei controlli di propria competenza per il primo semestre 2021. A quasi tre anni dall’ entrata in vigore del Regolamento Europeo per la protezione dei dati personali molte aziende ignorano ancora la portata specifica delle norme relative all’ accountability presenti nel Regolamento stesso.

L’articolo 24 prevede espressamente che il Titolare del trattamento ponga in essere misure tecniche ed organizzative riesaminandole e riaggiornandole. E proprio con riferimento alle misure tecniche occorre ricordare come i vari provvedimenti dell’Autorità nazionale e dell’EuropeanDataProtection Board in questi tre anni abbiano più volte ribadito la necessità di dimostrare la valutazione dei rischi originariamente effettuata con l’entrata in vigore del Regolamento e le varie evoluzioni che possono aver variato i rischi stessi con riferimento  ai fornitori sui quali possono essere stati esternalizzati trattamenti o attività di assistenza e manutenzione.

Il tema è dunque particolarmente rilevante per chi opera nei sistemi informativi in quanto pur restando in capo al Titolare l’onere di porre in essere una regia rispetto a queste valutazioni resta inteso come soltanto chi effettivamente opera sulle misure tecniche stesse possa dare un contributo in tema di valutazione dei rischi e selezione anche degli strumenti mediante i quali poterli andare a rilevare.

Gli ultimi mesi hanno visto aumentare in modo esponenziale gli attacchi informatici; nonostante ciò le aziende ancora oggi continuano a dissociare il tema dell’ obbligatorietà normativa della valutazione dei rischi dall’ efficacia che tale adeguamento normativo potrebbe produrre anche sulla prevenzione di eventi dannosi per il business.  

In questo panorama assumono una funzione fondamentale i Data Protection Officer (DPO) i quali dovrebbero farsi portatori non solo di una sorveglianza passiva atta ad intervenire laddove vi siano richieste specifiche da parte del Titolare o dei suoi responsabili, ma anche per promuovere attivamente una cultura “di allineamento” tra i sistemi informativi ed i correlati obblighi normativi. Sotto questo profilo si notano delle forti carenze lamentate anche in più provvedimenti emanati dall’Autorità Garante per la protezione dei dati personali rispetto al coinvolgimento dei DPO sui progetti di informatizzazione e digitalizzazione in via preliminare al fine di poter consentire al DPO stesso di poter fornire indicazioni idonee affinché investimenti piuttosto che scelte di business avvengano in linea con le prescrizioni normative. Occorre ricordare che in caso di controllo della Guardia di finanza proprio il tema della valutazione dei rischi e di come la stessa sia stata formulata, rappresenta uno degli elementi necessari per verificare la conformità dell’approccio adottato da parte dell’azienda nell’applicare il Regolamento in materia di privacy. 

Il rapporto, pertanto, tra DPO e sistemi informativi deve essere di “continuità”: dalla fase di pre-selezione dei fornitori, a quella di attivazione di un progetto sino alla verifica del recepimento e della conformità normativa una volta posti in essere obiettivi afferenti l’area informatica che possano pregiudicare la sicurezza dei dati. Di tali attività occorre dare una tracciabilità che deve trovare nel DPO una regia ben organizzata e costantemente allineata sugli eventi che caratterizzano gli aspetti di digitalizzazione ed informatizzazione dell’azienda.

Proprio la tracciabilità sembra essere invece uno degli aspetti meno valorizzati e meno compresi allo stato attuale. Benchè il Regolamento non citi mai in modo diretto vulnerability assessment e penetration test, questi sono indubbiamente soluzioni che consentono di dimostrare l’avvenuta analisi delle tematiche di sicurezza. E se da una parte le misure tecniche sono fondamentali, l’altra “metà del cielo” è rappresentata dalle misure organizzative, che anche in questo caso costituiscono oggetto di controllo da parte degli organi preposti. Dunque anche su questo fronte il flusso collaborativo tra DPO e sistemi è imprescindibile: si considerino ad esempio le misure organizzative di base che debbono disciplinare il modus operandi in caso di data breach piuttosto che di gestione degli amministratori di sistema o di valutazione del privacy by design rispetto a nuovi applicativi da inserire in azienda: laddove vi sia carenza delldefinizioni di questi aspetti che dovrebbero essere disciplinati dalle misure organizzative, il rischio è che allazienda venga sollevato un tema di non conformità per carenza di procedure o processi atti a garantire il reale recepimento del Regolamento nella gestione “quotidiana”. 

È essenziale quindi che il Responsabile dei sistemi informativi aziendali si lasci “stimolare” ed a sua volta “stimoli” sotto il profilo privacy le relazioni con il DPO nell’interesse dell’azienda, ricordando che quando parliamo di tutela di dati personali non si può prescindere evidentemente dalla tutela anche delle informazioni aziendali e che le stesse sono fonte di sopravvivenza soprattutto nell’attuale panorama economico internazionale!  

Articolo pubblicato su The Innovation Group

Riproduzione riservata ©

ALTRE NEWS

La disciplina contrattualistica delle applicazioni gestionali

Pubblicato su Pm@business  (L´informatica per la piccola e media impresa) Le applicazioni gestionali utilizzate dalle imprese possono essere essenzialmente disciplinate secondo due tipologie di contratti,… Leggi Tutto

Data tracing: le Linee Guida dell’EDPB costituiranno le basi dei trattamenti futuri

Lo scorso 21 aprile il Comitato Europeo per la protezione dei dati ha emanato le Linee-guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per… Leggi Tutto

Italia ed Europa più forti nella lotta al malware e non solo

Secondo le ultime ricerche effettuate da Eurostat sul mondo di internet e delle nuove tecnologie, nel panorama europeo dell’anno 2015, 1 utente su 4 ha… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.